-
Junior Member
- Вес репутации
- 63
Trojan.Botnetlog, win32.HLLW.Autorunner. Не могу справиться сам. Помогите.
Здравствуйте.
1. NOD32 постоянно ругается на вирусы, которые проникают через сеть.
2. Недоступна кнопка "отключить" сетевое подключение.
3. Компьютер отключил от сети физически. Логи делал при отключенной сети.
4. При подключении флешки вирус создает на диске скрытую папку
sejo и autorun.inf в корне.
5. Недоступна команда msconfig.
6. Логи сделаны под учетной записью, на которую могут быть наложены ограничения (систему ставил не я).
пп. 2 и 5 могут и не быть причиной вируса, а могут быть причиной ограничения учетной записи (если это и так, могли бы сказать, как исправить, пароль администратора я знаю)
7. Не исключаю, что Botnetlog - свежий. Cure-it от 3 августа его еще не видел. Сегодняшний (от 5 августа) - увидел.
Логи прикрепляю.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\dpm\Application Data\dgixy.exe','');
DeleteFile('C:\Documents and Settings\dpm\Application Data\dgixy.exe');
QuarantineFile('C:\Documents and Settings\dpm\Application Data\ozzfhv.exe','');
DeleteFile('C:\Documents and Settings\dpm\Application Data\ozzfhv.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
-
-
Junior Member
- Вес репутации
- 63
Все инструкции выполнил под учетной записью администратора.
Файл сохранён как 100805_100519_quarantine_4c5a549f97018.zip
Размер файла 725052
MD5 63e76388b01436392a97b8a9a4a918f0
-
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 63
Новые логи сделал, прикрепляю
-
-
-
Junior Member
- Вес репутации
- 63
Вирусы больше не беспокоят.
Думаю, тему можно закрывать.
Благодарю за помощь.
-
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
-
-
Junior Member
- Вес репутации
- 63
Сделал.
И еще вот что.
Обратил внимание, что при входе под учетной записью dpm
(а под ней делались логи только из первого сообщения темы,
все остальные - под учетной записью администратора)
автоматически в проводнике открывается папка (сейчас не вспомню,
то ли мои документы, то ли Application data).
Заглянул в avz - менеджер автозапуска.
Там оказался ключ реестра (winlogon параметр shell),
в котором через запятую, были указаны имена указанных выше двух зловредов из вашего скрипта (сообщение №2) и, вроде бы, explorer.exe.
Там же, в менеджере автозапуска, я выделил эту строчку
и нажал восстановить значения по умолчанию.
Путь и строку параметра shell я сейчас привести не могу
(может быть, в логах из первого сообщения можно эту строку посмотреть точно?).
Сейчас загрузка компьютера проходит нормально и при входе под
учетной записью dpm произвольно в проводнике папка не открывается.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 10
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\dpm\application data\dgixy.exe - Trojan.Win32.Pincav.adwe ( DrWEB: Trojan.Packed.20655 )
- c:\documents and settings\dpm\application data\ozzfhv.exe - Trojan.Win32.Pincav.adrl ( DrWEB: Win32.HLLW.Autoruner.22584, BitDefender: Gen:Variant.Bredo.2, AVAST4: Win32:Bredolab-DO [Trj] )
-