Подозрение на вирусы

**apsm** · 27.01.2010, 23:13

Здравствуйте! Подозреваю, что компьютер заражен. CureIt нашел и удалил несколько червей, но AVZ продолжает показывать подозрительное
Спасибо!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Шапельский Александр** · 27.01.2010, 23:30

Здравствуйте! Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\netprotocol.dll','');
 QuarantineFile('\Device\HarddiskVolume1\DOCUME~1\USER~1.MID\LOCALS~1\Temp\RarSFX0\jsdb9xp.exe','');
 TerminateProcessByName('\Device\HarddiskVolume1\DOCUME~1\USER~1.MID\LOCALS~1\Temp\RarSFX0\jsdb9xp.exe');
 DeleteFile('\Device\HarddiskVolume1\DOCUME~1\USER~1.MID\LOCALS~1\Temp\RarSFX0\jsdb9xp.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
Сделайте лог MBAM

**apsm** · 29.01.2010, 20:53

Сделал

**Шапельский Александр** · 29.01.2010, 21:13

Сообщение от shapel

закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).

Закачайте карантин правильно, а из темы уберите.

Добавлено через 14 минут

Удалите в MBAM

Код:

Заражено модулей в памяти:
c:\WINDOWS\system32\netprotocol.dll (Trojan.Agent) -> No action taken.

Заражено ключей реестра:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netprotocol (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETPROTOCOL (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Target Marketing Agency (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\MADOWN (Worm.Magania) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\runtime (Rootkit.Agent) -> No action taken.

Заражено значений реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.

Заражено параметров реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Заражено папок:
C:\Program Files\Microsoft Common (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.
C:\Documents and Settings\user.MIDAS-D277A0A7A\Local Settings\Application Data\Target Marketing Agency (Adware.TMAagent) -> No action taken.
C:\Documents and Settings\user.MIDAS-D277A0A7A\Local Settings\Application Data\Target Marketing Agency\TMAgent (Adware.TMAagent) -> No action taken.

Заражено файлов:
C:\Program Files\avz4\Quarantine\2009-09-06\avz00001.dta (Trojan.Preald) -> No action taken.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\lowsec\user.ds.lll (Stolen.data) -> No action taken.
C:\Documents and Settings\user.MIDAS-D277A0A7A\Local Settings\Application Data\Target Marketing Agency\TMAgent\data.bin (Adware.TMAagent) -> No action taken.
C:\Documents and Settings\user.MIDAS-D277A0A7A\Local Settings\Application Data\Target Marketing Agency\TMAgent\params.bin (Adware.TMAagent) -> No action taken.
C:\Documents and Settings\user.MIDAS-D277A0A7A\Local Settings\Application Data\Target Marketing Agency\TMAgent\tmagent.bin (Adware.TMAagent) -> No action taken.
C:\WINDOWS\system32\netprotocol.dll (Trojan.Agent) -> No action taken.
C:\Documents and Settings\user.MIDAS-D277A0A7A\Application Data\NP.sys (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\9_exception.nls (Trojan.Tibs) -> No action taken.

сделайте лог MBAM

**apsm** · 30.01.2010, 00:02

Закачал карантин правильно, в MBAM все удалил.

Прошу прощения!

**Шапельский Александр** · 30.01.2010, 00:32

Что с проблемой? Рекомендую обновить Windows 5.1.2600 Service Pack 2 до Windows 5.1.2600 Service Pack 3, возможно потребуется активация, Internet Explorer v6.00 до Internet Explorer v8.00 + установить последние обновления на ОС.

**apsm** · 31.01.2010, 11:43

Огромное спасибо! Вроде все теперь в порядке, только смущают строки
Функция kernel32.dll

oadLibraryExW (583) перехвачена, метод APICodeHijack.JmpTo[600D1EFF]
Функция advapi32.dll:SystemFunction035 (620) перехвачена, метод APICodeHijack.JmpTo[600D1541]
Функция wininet.dll:InternetAlgIdToStringA (214) перехвачена, метод APICodeHijack.JmpTo[67001634]
Функция wininet.dll:InternetAlgIdToStringW (215) перехвачена, метод APICodeHijack.JmpTo[670017CF]
при сканировании AVZ. Это, я так понимаю, HiJackThis? Как лучше, оставить как есть или деинсталлить HiJackThis?

**CyberHelper** · 01.02.2010, 11:43

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 9
В ходе лечения вредоносные программы в карантинах не обнаружены

Подозрение на вирусы (заявка № 69044)

Опции темы