-
Junior Member
- Вес репутации
- 51
Модифицированный Win32/Peerfrag.GR червь
По классификации NOD32 v4 (5041) модифицированный Win32/Peerfrag.GR червь. Приходит с зараженной машины на флешке в H:\OPAJDARA\debewa.exe
Установлен NOD32 v2 (4935), вирус не видит. Предложеный на форуме скрипт не помогает:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\Gadjy\Local Settings\Temp\~DFA223.tmp',' ');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\ssHelios.scr','');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('E:\autorun.inf');
DeleteFile('F:\autorun.inf');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Igor\csrss.exe','');
DeleteFile('C:\Documents and Settings\Igor\csrss.exe');
BC_ImportAll;
ExecuteSysClean;
Executerepair(1);
Executerepair(11);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Обновите базы АВЗ!
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
-
-
Сообщение от
noname_06
Предложеный на форуме скрипт не помогает
Так его, наверное, не вам предлагали.
-
-
Junior Member
- Вес репутации
- 51
Скрипт предлагался для удаления другого Peerfrag + не глянул что учитывает имя пользователя
Вложил новые логи (после использования скрипта) + карантин + тело вируса с флешки (иконка папки маскируется под корзину, скрытый, системный)
*AVZ 4.32 обновление 16/05/10
Последний раз редактировалось Rene-gad; 16.05.2010 в 19:44.
Причина: удалён карантин
-
Код:
Внимание !!! База поcледний раз обновлялась 21.08.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
БАЗЫ ОБНОВИТЕ. Логи переделайте.
-
-
Junior Member
- Вес репутации
- 51
Сообщение от
ARMA9000
Логи переделайте.
Выполнил
-
Отключить восстановление системы, защитное ПО.
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUMENTS AND SETTINGS\IGOR\LOCAL SETTINGS\APPLICATION DATA\.#\MBX@7B0@CB3238.###','');
QuarantineFile('C:\Program Files\Light Alloy\LA.exe','');
QuarantineFile('C:\Program Files\ZET 8\zet.exe','');
QuarantineFile('C:\Documents and Settings\Igor\csrss.exe','');
DeleteFile('C:\Documents and Settings\Igor\csrss.exe');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. Логи повторить (3 лога).
-
-
Junior Member
- Вес репутации
- 51
Восстановление системы отключено с момента установки Win
-
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUMENTS AND SETTINGS\IGOR\LOCAL SETTINGS\APPLICATION DATA\.#\MBX@7A4@CB3238.###','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\96EW.sys','');
QuarantineFile('C:\Program Files\ZET 8\zet.exe','');
QuarantineFile('C:\Program Files\Light Alloy\LA.exe','');
QuarantineFile('G:\OPAJDARA\debewa.exe','');
QuarantineFile('G:\autorun.inf','');
DeleteFile('G:\autorun.inf');
DeleteFile('G:\OPAJDARA\debewa.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Карантин прислать согласно правилам.
-
-
Junior Member
- Вес репутации
- 51
Можно поинтересоваться, чем вызвано такое подозрение на Light Alloy и ZET? Просто несколько проблематична отправка карантинов (используется нестабильный dial-up канал)
-
Сообщение от
noname_06
чем вызвано такое подозрение на Light Alloy и ZET? Просто несколько проблематична отправка карантинов
Уберите эти строки из скрипта
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 31
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\igor\csrss.exe - Worm.Win32.AutoRun.hda ( DrWEB: Trojan.Packed.19872, BitDefender: Trojan.Generic.3769664, AVAST4: Win32:Rootkit-gen [Rtk] )
-