-
Junior Member
- Вес репутации
- 52
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
ExecuteRepair(6);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Компьютер перезагрузится.
Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Теперь Outpost и Nod32 стартуют
Аутпостом после перезагрузки зарегистрированы подозрительные исходящие соединения от usb_magr.exe и spoolsvc.exe,
а так же попытку изменения критических данных скрытым приложением vvmnp.exe
очевидно это и есть засевшая у меня малваря
каким образом (вышеназванные файлы заблокированы) и что еще согласно отчетам AVZ следует удалить?
Последний раз редактировалось qwerty3000; 25.02.2010 в 19:37.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
после каждой перезагрузки Аутпост фиксирует постоянные попытки изменения критических файлов и ключов реестра, svchost регулярно продолжает благополучно вылетать, чем парализует нормальную работу Windows
сделал лог ComboFix'а:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\bvl.exe','');
QuarantineFile('c:\windows\system32\lepb.exe','');
QuarantineFile('c:\windows\system32\vvmnp.exe','');
QuarantineFile('c:\windows\system32\mini.exe','');
QuarantineFile('c:\windows\usb_magr.exe','');
DeleteFile('c:\windows\usb_magr.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
полагаю эти файлы тоже можно удалить из системы?
PS: сразу после перезагрузки Аутпостом была еще зарегистрирована попытка доступа приложения UJ.EXE к C:\windows\system32\iexplore.exe и LMCTMPI.EXE к c:\windows\system32\Isass.exe
и так же их попытка приконнектится (как и всех из карантина, кроме usb_magr.exe) к серверу с подозрительным называнием my.favourite.color.is.pink.gs
Последний раз редактировалось qwerty3000; 26.02.2010 в 18:30.
-
Удалите архив из вложений и пришлите, как полагается
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Результат загрузки
Файл сохранён как 100226_182606_virus_4b87e80e6b11b.zip
Размер файла 352614
MD5 d2b11e86a11ff85205bdd62204efc8ac
Последний раз редактировалось qwerty3000; 27.02.2010 в 12:37.
-
Junior Member
- Вес репутации
- 52
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\windows\system32\bvl.exe');
DeleteFile('c:\windows\system32\lepb.exe');
DeleteFile('c:\windows\system32\vvmnp.exe');
DeleteFile('c:\windows\system32\mini.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новый лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Сделано, но в ходе работы ComboFix несколько раз с ошибкой завершались какие то программы с расширением .СFXXE
-
На ошибки внимание не обращайте
Выполните скрипт в AVZ
Код:
begin
DeleteFile('c:\windows\usb_magr.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новый лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\bvl.exe - Trojan.Win32.Agent.dlee ( DrWEB: BackDoor.IRC.Bot.200 )
- c:\windows\system32\lepb.exe - Trojan.Win32.Agent.dlee ( DrWEB: BackDoor.IRC.Bot.200 )
- c:\windows\system32\mini.exe - Trojan.Win32.Agent.dcmz ( DrWEB: BackDoor.IRC.Sdbot.6107, BitDefender: Trojan.Generic.2642512, NOD32: Win32/AutoRun.IRCBot.DI worm, AVAST4: Win32:Trojan-gen )
- c:\windows\system32\vvmnp.exe - Trojan.Win32.Agent.dlee ( DrWEB: BackDoor.IRC.Bot.200 )
- c:\windows\usb_magr.exe - Trojan.Win32.Agent.dcmz ( DrWEB: BackDoor.IRC.Sdbot.6107, BitDefender: Trojan.Generic.2642512, NOD32: Win32/AutoRun.IRCBot.DI worm, AVAST4: Win32:Trojan-gen )
-