-
Junior Member
- Вес репутации
- 59
троянский вощщь
Собсно сабж - подвёл меня каким-то образом мой др.веб и пропустил на комп страшное зло и теперь постоянно ругается на появляющийся из тырнета файл С:\temp_file_bin без расширения, причём когда подключение к интернету нет - всё тихо и мирно, как в оккупированной германии Причём что интересно - активность скачивания этого файла из интернета проявляется в послеобеденное время, а вечером и утром - тишина, В общем к моменту составления логов этого безобразия на компе небыло, и сейчас нет. Ну ещё плюс постоянно образующиеся виревы темпы в Content.IE5 Прошёлся Курилкой по бездорожью - поудалял с десяток экзешников с рандомными именами из system32 - не помогло.
Да, в логах хайджека можно увидеть сколько процессов iexplore запущено, иногда бывает даже больше, хотя IE я вообще не юзаю.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
В AVZ выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
TerminateProcessByName('c:\program files\vksaver\vksaverupdater.exe');
QuarantineFile('C:\WINDOWS\system32\sfcfiles.dll','');
QuarantineFile('C:\WINDOWS\system32\vksaver.dll','');
QuarantineFile('C:\PROGRA~1\EASYSE~1\BHO\12SUPE~1.DLL','');
QuarantineFile('\\?\globalroot\systemroot\system32\w3RlWxp.exe','');
QuarantineFile('C:\WINDOWS\system32\w3RlWxp.exe','');
QuarantineFile('C:\WINDOWS\system32\f699b3.exe','');
QuarantineFile('c:\program files\vksaver\vksaverupdater.exe','');
DeleteFile('C:\WINDOWS\system32\f699b3.exe');
DeleteFile('\\?\globalroot\systemroot\system32\w3RlWxp.exe');
DeleteFile('C:\WINDOWS\system32\w3RlWxp.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
ExecuteRepair(2);
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteRepair(16);
ExecuteRepair(8);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RebootWindows(true);
end.
После перезагрузки
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
Логи повторите.
-
-
Junior Member
- Вес репутации
- 59
vksaver - это приблуда для пользования vkontakte, по сути дела я про неё даже забыл, по этому щас снёс, так что в карантине её нет.
w3RlWxp.exe и им подобные плодятся и дохнут как мухи, так что АВЗ пару раз ошибок понадавал об ихнем отсутствии.
Карантин залил
-
Junior Member
- Вес репутации
- 59
Вот и скрипт с лечилкой прошёл
-
Нужно дождаться вердикта по одному из файлов. В целом скрипт отработал хорошо. Выполните скрипт во вложении, результат выполнения из корня диска С c:\avz_log.txt или из папки AVZ\Log прикрепите к сообщению.
Вложение 224220
Обновите базы AVZ. Выполните процедуру, описанную в первом сообщении: http://virusinfo.info/showthread.php?t=3519
-
-
Junior Member
- Вес репутации
- 59
Скрипт выполнил, уязвимости обнаружены только в аdобе.
Помочь не получается, АВЗ карантину на 140 метров натырил
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 17
- В ходе лечения вредоносные программы в карантинах не обнаружены
-