-
Junior Member
- Вес репутации
- 53
c:\windows\system32\svchost.exe:ext.exe:$DATA >>> Опасно - исполняемый файл в потоке NTFS
Здравствуйте.
При просмотре странички, Opera крепко задумалась, потом выдала сообщение что-то насчет Acrobat Reader, и компьютер еще на минуту задумался. Возникло нехорошее предчуствие, и сканирование AVZ показало:
c:\windows\system32\svchost.exe:ext.exe:$DATA >>> Опасно - исполняемый файл в потоке NTFS.
Заранее, спасибо за помощь.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите в Hijackthis:
Код:
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=\\.\globalroot\systemroot\system32\userinit.exe,
O20 - AppInit_DLLs: C:\WINDOWS\Fonts\lsansd.ttf:eZ7U
O23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
QuarantineFile('C:\WINDOWS\system32\userini.exe','');
QuarantineFile('C:\WINDOWS\system32\vsjitdebugger.exe','');
QuarantineFile('C:\DOCUME~1\098A~1\LOCALS~1\Temp\WLZ71D.tmp\burnlib.lng','');
QuarantineFile('c:\docume~1\098a~1\locals~1\temp\sourceusing.exe','');
TerminateProcessByName('c:\docume~1\098a~1\locals~1\temp\sourceusing.exe');
QuarantineFile('c:\windows\system32\notepad.exe','');
QuarantineFile('C:\WINDOWS\Fonts\lsansd.ttf:eZ7U','');
DeleteFile('c:\docume~1\098a~1\locals~1\temp\sourceusing.exe');
DeleteFile('C:\DOCUME~1\098A~1\LOCALS~1\Temp\WLZ71D.tmp');
DeleteFile('C:\WINDOWS\system32\userini.exe');
DeleteFile('C:\WINDOWS\Fonts\lsansd.ttf:eZ7U');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!!!
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Очистите темп папки.
Сделайте новые логи по правилам
-
-
Junior Member
- Вес репутации
- 53
Скрипты запустил, перегрузилось. Аномалий незаметно.
-
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 7
- В ходе лечения обнаружены вредоносные программы:
- c:\docume~1\098a~1\locals~1\temp\sourceusing.exe - Packed.Win32.Krap.ai
- c:\windows\system32\svchost.exe:ext.exe:$data - Packed.Win32.Krap.ai ( DrWEB: Trojan.Spambot.7836, NOD32: Win32/Obfuscated.NCY trojan, AVAST4: Win32:Krap-YY [Trj] )
-