Здраствуйте
В системных папках создаются или принимаются через интернет неизвестные .exe файлы типа: 05.exe, 68.exe и т.д и т.п. антивирус касперского опознает их как PDM.Trojan.generic и UDSDangerousObject.Multi.Generic помещает на карантин.
Здраствуйте
В системных папках создаются или принимаются через интернет неизвестные .exe файлы типа: 05.exe, 68.exe и т.д и т.п. антивирус касперского опознает их как PDM.Trojan.generic и UDSDangerousObject.Multi.Generic помещает на карантин.
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\windows\system32\winsys2.exe',''); DeleteFile('c:\windows\system32\winsys2.exe'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Сделайте лог MBAM
Пожалуйста, карантин выслал
сегодня касперский выдал сообщение что "explorer" пытается загрузить: 208.53.183.46/thecalc.data
а до этого появился очередной exe файлы под именем 16.exe и tc.exe
tc.exe определил сразу как: HEUR:Backdoor.Win32.Generic, HEUR:Worm.Win32.Generic, HEUR:Trojan.Win32.Generic
Последний раз редактировалось AndreyKa; 26.06.2010 в 11:26. Причина: деактивация ссылки на Win32.HLLW.Lime.8
Установите надежные пароли на учетные записи пользователей с правами администратора.
Выполните в AVZ скрипт из файла ScanVuln.txt и приложите к этой теме файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедится, что уязвимости устранены.
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
Компьютер перезагрузится.Код:begin SetAVZGuardStatus(True); ExecuteRepair(16); QuarantineFile('C:\RECYCLER\S-1-5-21-7450441782-7647984740-798217791-4112\syscr.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-7450441782-7647984740-798217791-4112\syscr.exe'); BC_ImportDeletedList; BC_Activate; RebootWindows(true); end.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Обновите базы AVZ.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
уязвимости указанные в файле avz_log.txt устранил
карантин не могу отправить так как он не создается, пришлось убрать из скрипта перезагрузку чтобы выяснить почему.
[микропрограмма лечения]> изменен параметр shell ключа HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Ошибка карантина файла, попытка прямого чтения (C:\RECYCLER\S-1-5-21-7450441782-7647984740-798217791-4112\syscr.exe)
Карантин с использованием прямого чтения - ошибка.
еще вопрос по поводу лога "mbam" нужно ли удалять то что он нашел как зараженное?
в файле "avz_log.txt" те уязвимости которые были исправлены.
Странно, что mbam видит:А hijackthis не замечает. Можете посмотреть что в том ключе реестра на самом деле?HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (explorer.exe,C:\RECYCLER\S-1-5-21-7450441782-7647984740-798217791-4112\syscr.exe)
Вот выкладываю в виде скрина.
По моему выглядит не очень доброжелательно
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
Компьютер перезагрузится.Код:begin SetAVZGuardStatus(True); RegKeyParamDel('HKCU','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Shell'); RebootWindows(true); end.
Что с проблемами?
после выполнения скрипта ничего не изменилось
так же не могу создать карантин выдает туже самую ошибку
и все так же обращается к вредоносному интернет адресу указанному выше.
Что это за дрянь такая хитрожопая?
Как только первый раз появилась решил переустановить систему но с быстрым форматированием.
если переустановить с полным форматированием спасет?
или не стоит так быстро сдаваться?
что посоветуете?
Последний раз редактировалось Mounre; 26.06.2010 в 20:54.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
какие вы не сговорчивые, ну да понимаю много работы.
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
Компьютер перезагрузится.Код:begin SetAVZGuardStatus(True); ExecuteWizard('TSW', 2, 2, true); QuarantineFile('C:\RECYCLER\S-1-5-21-7451293880-9676226070-711537270-8963\syscr.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-7451293880-9676226070-711537270-8963\syscr.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
карантин выслал
Не видно ничего подозрительного. Проблема решена?
Очистите карантин AVZ. Выполните процедуру, описанную в первом сообщении: http://virusinfo.info/showthread.php?t=3519
да теперь все спокойно, большое спасибо.
карантин почистил, процедуру выполнил
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\recycler\s-1-5-21-7451293880-9676226070-711537270-8963\syscr.exe - Packed.Win32.Krap.hf ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Agent.Delf.RMU, AVAST4: Win32:Malware-gen )
Уважаемый(ая) Mounre, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.