-
Junior Member
- Вес репутации
- 56
Winlock "Online Antivirus" и те, кто менее заметны
Здравствуйте
"Online Antivirus" открыл кодом, были удалены md.exe от него, также сканеры поудаляли system32\user32.exe, %username%\local settings\temp\mknsdd.exe, и еще мелочь во временных папках, почистил temp и coockie.
После этого сделал логи. Посмотрите, пожалуйста, насколько опасно то что в логах.
Последний раз редактировалось groob; 25.02.2010 в 13:20.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Если приложите логи к теме, посмотрим.
-
-
Junior Member
- Вес репутации
- 56
прошу прощения, видимо произошел сбой, приложил заново
-
Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
ExecuteWizard('TSW', 2, 2, true);
DelCLSID('31IOP6M8-1DAB-81AD-BOK6-18OC5H2007645');
DelCLSID('31IOP6M8-1DAB-81AD-BOK1-78OC5H3987645');
DelCLSID('31IOP6M8-1DAB-81AD-BOK1-26OC5H3565645');
DelCLSID('12LOP3S8-1VRX-81VS-JKL6-61OP5G3214441');
DelCLSID('9A727FBF-480A-5BE7-11F6-4AFB9E290E21');
QuarantineFile('C:\Kobakokoss\hhsjsduss\Tn.exe','');
QuarantineFile('c:\Tender\InterPol\NkeY.exe','');
QuarantineFile('c:\Heroes\FILES\NVeB.exe','');
QuarantineFile('c:\ALGERIA\FAILED\die.exe','');
DelCLSID('{88888888-8888-8888-8888-888888888888}');
QuarantineFile('C:\WINDOWS\system32\av_md.exe','');
DeleteFile('C:\WINDOWS\system32\av_md.exe');
DeleteFile('c:\ALGERIA\FAILED\die.exe');
DeleteFile('c:\Tender\InterPol\NkeY.exe');
DeleteFile('C:\Kobakokoss\hhsjsduss\Tn.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.
Сделайте новый лог по пункту 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
Выполните в AVZ скрипт ScanVuln.txt и приложите сюда файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
-
-
Junior Member
- Вес репутации
- 56
Спасибо
Папки C:\Kobakokoss\, c:\Tender\, c:\Heroes\, c:\ALGERIA\ я удалил руками до первых логов, av_md.exe отсутствует в system32, возможно, его удалил AVPTool(лог не сохранился)
В карантине файлы от первого сканирования AVZ
Благодарю за ссылки на обновления
Карантин также прислал, Вы получили его?
Последний раз редактировалось groob; 25.02.2010 в 15:55.
-
Запустите AVZ.
Выполните скрипт через меню Файл:
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('G:\autorun.inf','');
QuarantineFile('G:\hbcd\wintools\autorun.exe','');
end.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.
-
-
Junior Member
- Вес репутации
- 56
карантин загружен
из этого autorun.inf я удалил секцию от md.exe
не всегда есть возможность форматировать флэшку в ntfs
у autorun.exe контрольная сумма совпадает с оригинальным
на него положительное срабатывание только у F-Secure: Suspicious:W32/Malware!Gemini
Последний раз редактировалось groob; 25.02.2010 в 17:08.
Причина: сравнил хэш и проверил на virustotal.com
-
Сообщение от
groob
из этого autorun.inf я удалил секцию от md.exe
Лучше совсем файл удалите и создайте папку с таким именем.
Больше ничего плохого не видно.
-
-
Junior Member
- Вес репутации
- 56
Большое спасибо, эта очистка от зловредов была очень полезна - я немного понял как работают хэлперы. Скрипты и html-страницы в которых можно легко и быстро набросать такой скрипт - это очень удобный инструмент
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 6
- В ходе лечения вредоносные программы в карантинах не обнаружены
-