Winlock "Online Antivirus" и те, кто менее заметны
Здравствуйте
"Online Antivirus" открыл кодом, были удалены md.exe от него, также сканеры поудаляли system32\user32.exe, %username%\local settings\temp\mknsdd.exe, и еще мелочь во временных папках, почистил temp и coockie.
После этого сделал логи. Посмотрите, пожалуйста, насколько опасно то что в логах.
Последний раз редактировалось groob; 25.02.2010 в 13:20.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Если приложите логи к теме, посмотрим.
прошу прощения, видимо произошел сбой, приложил заново
Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
Компьютер перезагрузится.Код:begin SetAVZGuardStatus(True); ExecuteWizard('TSW', 2, 2, true); DelCLSID('31IOP6M8-1DAB-81AD-BOK6-18OC5H2007645'); DelCLSID('31IOP6M8-1DAB-81AD-BOK1-78OC5H3987645'); DelCLSID('31IOP6M8-1DAB-81AD-BOK1-26OC5H3565645'); DelCLSID('12LOP3S8-1VRX-81VS-JKL6-61OP5G3214441'); DelCLSID('9A727FBF-480A-5BE7-11F6-4AFB9E290E21'); QuarantineFile('C:\Kobakokoss\hhsjsduss\Tn.exe',''); QuarantineFile('c:\Tender\InterPol\NkeY.exe',''); QuarantineFile('c:\Heroes\FILES\NVeB.exe',''); QuarantineFile('c:\ALGERIA\FAILED\die.exe',''); DelCLSID('{88888888-8888-8888-8888-888888888888}'); QuarantineFile('C:\WINDOWS\system32\av_md.exe',''); DeleteFile('C:\WINDOWS\system32\av_md.exe'); DeleteFile('c:\ALGERIA\FAILED\die.exe'); DeleteFile('c:\Tender\InterPol\NkeY.exe'); DeleteFile('C:\Kobakokoss\hhsjsduss\Tn.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.
Сделайте новый лог по пункту 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
Выполните в AVZ скрипт ScanVuln.txt и приложите сюда файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Спасибо
Папки C:\Kobakokoss\, c:\Tender\, c:\Heroes\, c:\ALGERIA\ я удалил руками до первых логов, av_md.exe отсутствует в system32, возможно, его удалил AVPTool(лог не сохранился)
В карантине файлы от первого сканирования AVZ
Благодарю за ссылки на обновления
Карантин также прислал, Вы получили его?
Последний раз редактировалось groob; 25.02.2010 в 15:55.
Запустите AVZ.
Выполните скрипт через меню Файл:
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.Код:begin DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); QuarantineFile('G:\autorun.inf',''); QuarantineFile('G:\hbcd\wintools\autorun.exe',''); end.
карантин загружен
из этого autorun.inf я удалил секцию от md.exe
не всегда есть возможность форматировать флэшку в ntfs
у autorun.exe контрольная сумма совпадает с оригинальным
на него положительное срабатывание только у F-Secure: Suspicious:W32/Malware!Gemini
Последний раз редактировалось groob; 25.02.2010 в 17:08. Причина: сравнил хэш и проверил на virustotal.com
Лучше совсем файл удалите и создайте папку с таким именем.Сообщение от groob
Больше ничего плохого не видно.
Большое спасибо, эта очистка от зловредов была очень полезна - я немного понял как работают хэлперы. Скрипты и html-страницы в которых можно легко и быстро набросать такой скрипт - это очень удобный инструмент
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 6
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) groob, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
