-
Junior Member
- Вес репутации
- 63
ie и множество других программ закрываются сами по себе
Здравствуйте, значит возникла такая проблема: внезапно сам по себе стал закрыватся ie только при активном(зеленом) utm, при сканировании с помощью mcafee после половины проверки программа вылетает, и еще множество мелких глюков, благо что с avz все в поряде, при простом сканировании в avz попалась вот такая шляпа:
Zupastik[1].exe >>>>> Trojan-Spy.Win32.Goldun.ms
original[1].exe >>>>> Trojan-Downloader.Win32.Agent.avv
ibm00001.dll >>>>> Trojan-Downloader.Win32.Small.eig
ibm00002.dll >>>>> Trojan-Downloader.Win32.Small.eig
Последние два я нашел и удалил, но проблема осталась.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
В AVZ выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\Games\System32\RUSSIA~1.SCR','');
QuarantineFile('D:\GAMES\System32\ylxb.dll','');
QuarantineFile('D:\GAMES\Mstray.exe','');
QuarantineFile('D:\GAMES\9129837.exe','');
CreateQurantineArchive(GetAVZDirectory+'8447_quarantine.zip');
RebootWindows(true);
end.
После перезагрузки пришлите файл 8447_quarantine.zip из папки с AVZ по ссылке вверху страницы.
-
-
@maxi_s Веселое у Вас название системной директории.
Я так долго на это смотрел, что скрипт написать не успел.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 63
Сообщение от
PavelA
@maxi_s Веселое у Вас название системной директории.
Я так долго на это смотрел, что скрипт написать не успел.
Это чтоб вирусы не знали куда им записываца, ламерское заявление но все же, а вообще назвал случайно а теперь не знаю как изменить
-
Вирусам все равно. Они используют макросы типа %SysDisk%, %SystemRoot%, %System32% ну и так далее.
-
-
В карантин ничего не попало, только EntApi.dll (чист).
Выполните скрипт:
Код:
begin
ClearQuarantine;
BC_QrFile('D:\Games\System32\RUSSIA~1.SCR');
BC_QrFile('D:\GAMES\System32\ylxb.dll');
BC_QrFile('D:\GAMES\Mstray.exe');
BC_QrFile('D:\GAMES\9129837.exe');
BC_LogFile(GetAVZDirectory + 'boot_clr.log') ;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Приложите к теме файл 'boot_clr.log' из папки AVZ. Содержимое карантина пришлите по правилам.
-
-
Junior Member
- Вес репутации
- 63
Не могу выполнить скрипт: Ошибка Bc_qrfile в позиции 3.10
-
Странно, у себя проверил на синтаксис - ошибок нет...
Попробуйте повторно скопировать и выполнить.
-
-
maxi s, скачайте новую версию AVZ.
-
-
Junior Member
- Вес репутации
- 63
да , с новой версией все заработало
см. лог
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('D:\GAMES\System32\ylxb.dll');
DeleteFile('D:\GAMES\9129837.exe');
DeleteFile('D:\GAMES\Mstray.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки сделайте новые логи.
-
-
Junior Member
- Вес репутации
- 63
-
Пофиксите в HijackThis (это остатки "мусора"):
Код:
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - shell32.dll (file missing)
Ничего подозрительного в логах не нахожу,
однако, чем объяснить строчки вроде этой:
>>> Код руткита в функции CreatePipe нейтрализован
и обилие в портах ТСР строк вида:
1392 TIME_WAIT 84.47.148.254 139 [0]
непонятно.
Коллеги, посмотрите пожалуйста!
-
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('D:\GAMES\System32\EntApi.dll','');
QuarantineFile('D:\GAMES\System32\Qtw32.cpl','');
QuarantineFile('D:\Documents and Settings\Саша\Рабочий стол\Неиспользуемые ярлыки\1.exe','');
RebootWindows(true);
end.
После перезагрузки пришлите файлы карантина по правилам раздела "Помогите".
Если Вам позволяет интернет (получиться файл больших размеров), то сделайте такую штуку.
-
-
Junior Member
- Вес репутации
- 63
После того как пофиксил, на рабочем столе появилась какая то папка backups.
-
Это HijackThis данные для отката сохранил.
-
-
Junior Member
- Вес репутации
- 63
понятно, закачал архив: virusinfo_files_SASHAOVEN_45fe781ef0736.zip - 6,7 мб.
-
Junior Member
- Вес репутации
- 63
Теперь ie вылетает через 4-5 успешных открытий, как будто что то осталось.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 6
- В ходе лечения вредоносные программы в карантинах не обнаружены
-