Junior Member
Вес репутации
52
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Пофиксите в Hijack
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,C:\WINDOWS\system32\64118d84.exe,\\?\globalroot\systemroot\system32\vbcvfsW.exe,
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\vbcvfsW.exe','');
QuarantineFile('C:\WINDOWS\system32\XP-D2CB4DD9.EXE','');
QuarantineFile('C:\WINDOWS\system32\64118d84.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
QuarantineFile('C:\WINDOWS\system32\overlapp32.dll','');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
DeleteFile('C:\WINDOWS\system32\overlapp32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
DeleteFile('C:\WINDOWS\system32\64118d84.exe');
DeleteFile('C:\WINDOWS\system32\XP-D2CB4DD9.EXE');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','WebCheck');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','XP-D2CB4DD9');
DeleteFile('\\?\globalroot\systemroot\system32\vbcvfsW.exe');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
52
Ну вроде все работает
Огромное спасибо за оперативность!!!
Карантин сбросил.
Вложения
Пофиксите в Hijack
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,C:\WINDOWS\system32\64118d84.exe,\\?\globalroot\systemroot\system32\vbcvfsW.exe,
Выполните скрипт в AVZ
Код:
begin
DeleteFile('C:\WINDOWS\system32\64118d84.exe');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
52
Фиксить и выполнять скрипт AVZ с запущенным браузером,каспером и т.д? Или все выгрузить?
Антивирус и другой защитный софт лучше отключить.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
52
Вложения
Чисто
Установите SP3 (может потребоваться активация) + все новые заплатки
Установите Internet Explorer 8
Обновите JavaRE
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
52
Спасибо!
Сделаю. IE 8 как лучше ставить сверху или можно сначала как-то 7-ой удалить?
Последний раз редактировалось Hamilcar; 24.03.2010 в 21:29 .
Можно ставить сверху, но если удалите 7-ой, то больше свободного места будет на диске.
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 22 В ходе лечения обнаружены вредоносные программы:
c:\windows\system32\overlapp32.dll - Trojan-Spy.Win32.Hascha.fr ( DrWEB: Trojan.PWS.Banker.43324 ) c:\windows\system32\sdra64.exe - Trojan-Spy.Win32.Zbot.ahid ( DrWEB: Trojan.PWS.Panda.246, AVAST4: Win32:Malware-gen ) c:\windows\system32\sfcfiles.dll - Trojan.Win32.Patched.fr c:\windows\system32\64118d84.exe - Trojan.Win32.Scar.bxuw ( DrWEB: Trojan.MulDrop.64715, NOD32: Win32/Agent.QYA trojan, AVAST4: Win32:Malware-gen ) \\?\globalroot\systemroot\system32\vbcvfsw.exe - Trojan.Win32.Scar.bxxy ( DrWEB: Trojan.PWS.Ibank.28, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:Spyware-gen [Spy] )
Рекомендации:
Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !