-
Junior Member
- Вес репутации
- 51
Удаляю вирус, он опять откуда-то берется. Возможно Bron.tok
С помощью PROWiSe Manager нашел подозрительные процессы с именами похожими на системные, но пиктограмкой "папка". Свойства процесса показывают что он запущен не из системной папки, а из папки "мои документы". Файл занят процессом, при попытке убить процесс система уходит в перезагрузку. Делаю приостановить процесс на всех подозрительных, потом убиваю и удаляю файлы. Через AVZ сделал полную чистку, восстановление. Спустя день вирус опять откуда-то появляетя.
Могу выложить файлы, по-моему мнению являющиеся вирусом.
Вот в кратце что он создает:
D:\Windows\BerasJatah.exe
D:\WINDOWS\system32\Администратор's Setting.scr
D:\Documents and Settings\Администратор\Local Settings\Application Data\
Bron.tok.A14.em.bin
csrss.exe
inetinfo.exe
lsass.exe
services.exe
smss.exe
winlogon.exe
D:\Documents and Settings\Администратор\Local Settings\Application Data\
Loc.Mail.Bron.Tok\*.ini - адреса е-мэйл.ini размер везде 51 байт
сдесь же пустые папки
Ok-SendMail-Bron-tok
Bron.tok-14-26
Bron.tok-14-25
Плюс, если лазить проводником, то в каждой папке появляется файл с названием папки.exe
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключите восстановление системы! См. Приложение 1 Правил.
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
ExecuteRepair(16);
ExecuteRepair(13);
QuarantineFile('D:\WINDOWS\BerasJatah.exe','');
DeleteFile('D:\WINDOWS\BerasJatah.exe');
QuarantineFile('D:\WINDOWS\ShellNew\sempalong.exe','');
DeleteFile('D:\WINDOWS\ShellNew\sempalong.exe');
QuarantineFile('D:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\Empty.pif','');
QuarantineFile('D:\Documents and Settings\Администратор\Шаблоны\Brengkolang.com','');
QuarantineFile('d:\documents and settings\Администратор\local settings\application data\winlogon.exe','');
QuarantineFile('d:\documents and settings\Администратор\local settings\application data\services.exe','');
QuarantineFile('d:\documents and settings\Администратор\local settings\application data\lsass.exe','');
DeleteFile('d:\documents and settings\Администратор\local settings\application data\lsass.exe');
DeleteFile('d:\documents and settings\Администратор\local settings\application data\services.exe');
DeleteFile('d:\documents and settings\Администратор\local settings\application data\winlogon.exe');
DeleteFile('D:\Documents and Settings\Администратор\Шаблоны\Brengkolang.com');
DeleteFile('D:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\Empty.pif');
DeleteFile('D:\WINDOWS\tasks\At1.job');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Обновите базы AVZ.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
-
-
Junior Member
- Вес репутации
- 51
Сделал как Вы сказали. Помогло. Одно "но" - процессы из памяти пришлось убивать вручную, иначе не удалялись.
Спасибо Вам огромное!!!
-
Последний штрих. Выполните в AVZ скрипт:
Код:
begin
DeleteFile(GetAVZDirectory+'log\virusinfo_cure.zip');
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
ExecuteWizard('TSW', 2, 2, true);
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tok-Cirrhatus');
end.
-
-
Junior Member
- Вес репутации
- 51
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 9
- В ходе лечения обнаружены вредоносные программы:
- d:\documents and settings\администратор\local settings\application data\lsass.exe - Email-Worm.Win32.Brontok.q ( DrWEB: Win32.HLLM.Generic.440, BitDefender: Win32.Brontok.Q@mm, NOD32: Win32/Brontok.DK worm, AVAST4: Win32:Brontok-BG [Wrm] )
- d:\documents and settings\администратор\local settings\application data\services.exe - Email-Worm.Win32.Brontok.q ( DrWEB: Win32.HLLM.Generic.440, BitDefender: Win32.Brontok.Q@mm, NOD32: Win32/Brontok.DK worm, AVAST4: Win32:Brontok-BG [Wrm] )
- d:\documents and settings\администратор\local settings\application data\winlogon.exe - Email-Worm.Win32.Brontok.q ( DrWEB: Win32.HLLM.Generic.440, BitDefender: Win32.Brontok.Q@mm, NOD32: Win32/Brontok.DK worm, AVAST4: Win32:Brontok-BG [Wrm] )
- d:\documents and settings\администратор\главное меню\программы\автозагрузка\empty.pif - Email-Worm.Win32.Brontok.q ( DrWEB: Win32.HLLM.Generic.440, BitDefender: Win32.Brontok.Q@mm, NOD32: Win32/Brontok.DK worm, AVAST4: Win32:Brontok-BG [Wrm] )
- d:\documents and settings\администратор\шаблоны\brengkolang.com - Email-Worm.Win32.Brontok.q ( DrWEB: Win32.HLLM.Generic.440, BitDefender: Win32.Brontok.Q@mm, NOD32: Win32/Brontok.DK worm, AVAST4: Win32:Brontok-BG [Wrm] )
- d:\windows\berasjatah.exe - Email-Worm.Win32.Brontok.q ( DrWEB: Win32.HLLM.Generic.440, BitDefender: Win32.Brontok.Q@mm, NOD32: Win32/Brontok.DK worm, AVAST4: Win32:Brontok-BG [Wrm] )
- d:\windows\shellnew\sempalong.exe - Email-Worm.Win32.Brontok.q ( DrWEB: Win32.HLLM.Generic.440, BitDefender: Win32.Brontok.Q@mm, NOD32: Win32/Brontok.DK worm, AVAST4: Win32:Brontok-BG [Wrm] )
-