С чужой флешки на бук подцепил вирус(ы). Определить их смог только Симантек.
W32.Pilleuz
Bloodhound.W32.EP
Однако вылечить не может. Один из них шлет спам в интернет по 25-му порту.
Вот логи. Надеюсь на помощь.
С чужой флешки на бук подцепил вирус(ы). Определить их смог только Симантек.
W32.Pilleuz
Bloodhound.W32.EP
Однако вылечить не может. Один из них шлет спам в интернет по 25-му порту.
Вот логи. Надеюсь на помощь.
Отключить восстановление системы, защитное ПО.
Выполнить скрипт:
Компьютер перезагрузится. Карантин загрузить по красной ссылке. Логи повторить.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\Drivers\SYMREDRV.SYS',''); QuarantineFile('C:\System Volume Information\_restore{058845AD-5416-428F-8B1A-FD2032439E49}\RP235\A0031144.exe:userini.exe:$DATA',''); QuarantineFile('C:\System Volume Information\_restore{058845AD-5416-428F-8B1A-FD2032439E49}\RP233\A0031120.exe:userini.exe:$DATA',''); QuarantineFile('C:\System Volume Information\_restore{058845AD-5416-428F-8B1A-FD2032439E49}\RP233\A0031070.exe:userini.exe:$DATA',''); QuarantineFile('C:\System Volume Information\_restore{058845AD-5416-428F-8B1A-FD2032439E49}\RP232\A0031009.exe:userini.exe:$DATA',''); QuarantineFile('C:\System Volume Information\_restore{058845AD-5416-428F-8B1A-FD2032439E49}\RP231\A0030935.exe:userini.exe:$DATA',''); QuarantineFile('C:\System Volume Information\_restore{058845AD-5416-428F-8B1A-FD2032439E49}\RP231\A0030896.exe:userini.exe:$DATA',''); QuarantineFile('C:\System Volume Information\_restore{058845AD-5416-428F-8B1A-FD2032439E49}\RP231\A0030870.exe:userini.exe:$DATA',''); QuarantineFile('c:\windows\explorer.exe:userini.exe:$DATA',''); TerminateProcessByName('c:\windows\system32\userini.exe'); QuarantineFile('c:\windows\system32\userini.exe',''); DeleteFile('c:\windows\system32\userini.exe'); DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA'); DeleteFile('C:\System Volume Information\_restore{058845AD-5416-428F-8B1A-FD2032439E49}\RP231\A0030870.exe:userini.exe:$DATA'); DeleteFile('C:\System Volume Information\_restore{058845AD-5416-428F-8B1A-FD2032439E49}\RP231\A0030896.exe:userini.exe:$DATA'); DeleteFile('C:\System Volume Information\_restore{058845AD-5416-428F-8B1A-FD2032439E49}\RP231\A0030935.exe:userini.exe:$DATA'); DeleteFile('C:\System Volume Information\_restore{058845AD-5416-428F-8B1A-FD2032439E49}\RP232\A0031009.exe:userini.exe:$DATA'); DeleteFile('C:\System Volume Information\_restore{058845AD-5416-428F-8B1A-FD2032439E49}\RP233\A0031070.exe:userini.exe:$DATA'); DeleteFile('C:\System Volume Information\_restore{058845AD-5416-428F-8B1A-FD2032439E49}\RP233\A0031120.exe:userini.exe:$DATA'); DeleteFile('C:\System Volume Information\_restore{058845AD-5416-428F-8B1A-FD2032439E49}\RP235\A0031144.exe:userini.exe:$DATA'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini'); BC_Activate; ExecuteSysClean; ExecuteWizard('TSW', 2, 2, true); BC_Activate; RebootWindows(true); end.
Карантин загрузил.
вроде новые
по времени создания видно
вот
Надо обновить IE8(даже если им не пользуетесь).
Жалобы имеются?
не пользуюсь.
сейчас проверю, есть ли спам рассылки...
Добавлено через 6 минут
после повторной проверки создан еще файл virusinfo_cure.zip
это нормально?
Последний раз редактировалось Deeman; 06.06.2010 в 18:18. Причина: Добавлено
Этот архив должен был быть еще при первых логах.*Обратите внимание! Если в результате работы скрипта будут обнаружены подозрительные файлы, они будут сохранены в архиве virusinfo_cure.zip. Этот архив необходимо отличать от архива с протоколом исследования системы virusinfo_syscure.zip и загружать на форум только в том случае, если вас об этом попросили.
судя по времени создания, создан во второй раз, при повторном прогоне программы
Добавлено через 9 минут
только что прогнал еще раз
вновь на чисто месте создан файл virusinfo_cure.zip
как я понимаю это карантин?
Последний раз редактировалось Deeman; 06.06.2010 в 18:37. Причина: Добавлено
вот свежие логи
могу прислать карантин
Плохого не видно.
Если Вас беспокоит этот карантин, то загрузите его по красной ссылке.
закачал. если что - сообщайте
Все что нужно в карантин попало. В логах чисто. Рекомендацию из поста #7 все рекомендую сделать.
Жалобы есть?
Вирусной активности не наблюдается!
Спасибо!
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 19
- В ходе лечения обнаружены вредоносные программы:
- c:\system volume information\_restore{058845ad-5416-428f-8b1a-fd2032439e49}\rp231\a0030870.exe:userini.exe:$data - Packed.Win32.Krap.x ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Bredolab.BV, AVAST4: Win32:Bredolab-DH [Trj] )
- c:\system volume information\_restore{058845ad-5416-428f-8b1a-fd2032439e49}\rp231\a0030896.exe:userini.exe:$data - Packed.Win32.Krap.x ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Bredolab.BV, AVAST4: Win32:Bredolab-DH [Trj] )
- c:\system volume information\_restore{058845ad-5416-428f-8b1a-fd2032439e49}\rp231\a0030935.exe:userini.exe:$data - Packed.Win32.Krap.x ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Bredolab.BV, AVAST4: Win32:Bredolab-DH [Trj] )
- c:\system volume information\_restore{058845ad-5416-428f-8b1a-fd2032439e49}\rp232\a0031009.exe:userini.exe:$data - Packed.Win32.Krap.x ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Bredolab.BV, AVAST4: Win32:Bredolab-DH [Trj] )
- c:\system volume information\_restore{058845ad-5416-428f-8b1a-fd2032439e49}\rp233\a0031070.exe:userini.exe:$data - Packed.Win32.Krap.x ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Bredolab.BV, AVAST4: Win32:Bredolab-DH [Trj] )
- c:\system volume information\_restore{058845ad-5416-428f-8b1a-fd2032439e49}\rp233\a0031120.exe:userini.exe:$data - Packed.Win32.Krap.x ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Bredolab.BV, AVAST4: Win32:Bredolab-DH [Trj] )
- c:\system volume information\_restore{058845ad-5416-428f-8b1a-fd2032439e49}\rp235\a0031144.exe:userini.exe:$data - Packed.Win32.Krap.x ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Bredolab.BV, AVAST4: Win32:Bredolab-DH [Trj] )
- c:\windows\explorer.exe:userini.exe:$data - Packed.Win32.Krap.x ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Bredolab.BV, AVAST4: Win32:Bredolab-DH [Trj] )
- c:\windows\system32\userini.exe - Packed.Win32.Krap.x ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Bredolab.BV, AVAST4: Win32:Bredolab-DH [Trj] )
Уважаемый(ая) Deeman, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.