-
Junior Member
- Вес репутации
- 53
Не могу побороть заразу
На компьютере установлен NOD 32 который, недавно начала раз в сутки приблизительно в одно и тоже время выдавать подобные сообщения:
C:\System Volume Information\_restore{70F0F8CF-9670-46A3-A157-B3FC2BEF881A}\RP7\A0000866.exe Win32/Spy.Shiz.NAI троянская программа очищен удалением - изолирован Событие произошло при попытке доступа к файлу следующим приложением: C:\WINDOWS\system32\svchost.exe.
C:\WINDOWS\system32\T8D3p9v.exe Win32/Spy.Shiz.NAL троянская программа очищен удалением (после следующего перезапуска) - изолирован Событие произошло при попытке доступа к файлу следующим приложением: C:\WINDOWS\system32\wbem\wmiprvse.exe.
C:\WINDOWS\system32\sr5Pu6L.exe Win32/Spy.Shiz.NAL троянская программа очищен удалением (после следующего перезапуска) - изолирован Событие произошло при попытке доступа к файлу следующим приложением: C:\WINDOWS\system32\wbem\wmiprvse.exe.
C:\WINDOWS\system32\i14pQHF.exe Win32/Spy.Shiz.NAL троянская программа очищен удалением (после следующего перезапуска) - изолирован Событие произошло при попытке доступа к файлу следующим приложением: C:\WINDOWS\system32\wbem\wmiprvse.exe.
C:\WINDOWS\system32\HsQGoIU.exe Win32/Spy.Shiz.NAL троянская программа очищен удалением (после следующего перезапуска) - изолирован Событие произошло при попытке доступа к файлу следующим приложением: C:\WINDOWS\system32\wbem\wmiprvse.exe.
C:\WINDOWS\system32\be480d72.exe Win32/Spy.Shiz.NAI троянская программа очищен удалением (после следующего перезапуска) - изолирован Событие произошло при попытке доступа к файлу следующим приложением: C:\WINDOWS\system32\wbem\wmiprvse.exe.
Компьютер был просканирован в безопасном режиме AVPtool все найденое было удалено, однако NOD все равно удаляет вирусы, на этом компьютере при включении не всегда стартует процесс explorer.exe который приходиться запускать при помощи диспетчера задач (это началось после сообщений об вирусе). Логи приложил. Помогите разобраться с заразой.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите в hijack
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\be480d72.exe,\\?\globalroot\systemroot\system32\nNWtggk.exe,
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\be480d72.exe','');
DeleteFile('C:\WINDOWS\system32\be480d72.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Логи прикрепил. Карантин к сожалению был мной затерт случайно, выслать не могу.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Антивирус по крайне мере не ругается пока, explorer.exe стартует нормально. Понаблюдаю до завтра вам отпишусь.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Рекомендации были учтены и сделаны, следов заразы не наблюдается.
Добавлено через 6 часов 56 минут
К сожалению слишком рано отписался об излечении. Сегодня опять ближе к 17 часам NOD словил тот же вирус на этой машине. Что делать?
Последний раз редактировалось lazarevk; 23.04.2010 в 17:42.
Причина: Добавлено
-
Полную проверку антивирусом. В компании с удаленным скриптом файлом вируса обычно идет 5-6 компаньонов
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Проверку сделал в безопасном режиме KAV он ничего не нашел, наблюдаю за поведением.
-
Junior Member
- Вес репутации
- 53
Вторые сутки чисто, файлы не появляются. Можно тему закрывать. Спасибо.