-
Junior Member
- Вес репутации
- 54
Вирус через аську. Snatch.
Хорошая знакомая прислала файл через аську, передача была отключена. уточнил что такое, сказала, что прикольная мини-игра, мол, ставь поиграем. скачал, проверил антивирусом, запустил. тут же вырубилась аська, понял что сотворил глупость, но было уже поздно.. аська больше не запускалась до тех пор пока не снес процесс и не переустановил qip. за это время аналогичное сообщение успело разослаться от меня по контакт-листу..
прошу проверить, есть ли что-нибудь подозрительное, т.к. у меня мутные сомнения что я так легко от этой гадости отделался..
Прошу простить за то, что лишнюю работу вам создаю, но может ещё пригодится.. судя по всему распространяется она очень быстро..Первый раз сталкиваюсь с такими умными ботами, которые отвечают на твои вопросы как живые люди...
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
TerminateProcessByName('c:\program files\qip\users\219833252\rcvdfiles\362466173_n@ti\snatch.exe');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\Toolbar.exe','');
QuarantineFile('c:\program files\application updater\applicationupdater.exe','');
QuarantineFile('c:\program files\irotate\irotate.exe','');
QuarantineFile('c:\program files\qip\users\219833252\rcvdfiles\362466173_n@ti\snatch.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Рабочий стол\vpn.bat','');
DeleteFile('c:\program files\qip\users\219833252\rcvdfiles\362466173_n@ti\snatch.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
-
-
Junior Member
- Вес репутации
- 54
А если vpn.bat на рабочем столе - нужный файл (скрипт автозапуска vpn-соединения)? Команду QuarantineFile для него все равно надо выполнять?
-
Эта команда всего лишь скопирует его в карантин, убивать я его не планировал.
-
-
Junior Member
- Вес репутации
- 54
ок, щас сделаю
Добавлено через 17 минут
карантин прислал
Файл сохранён как100816_195826_quarantine_4c69602287b96.zipРазмер файла676331MD5003cfd684dbfc3c991d67c9b58e9be8a
Последний раз редактировалось krexxxer; 16.08.2010 в 19:59.
Причина: Добавлено
-
- Повторите лог virusinfo_syscure.zip
- Сделайте лог МВАМ
-
-
Junior Member
- Вес репутации
- 54
порядок выполнения логов имеет значение? просто я вначале сделал лог другой - syscheck, потом mbam. а когда стал прикреплять, увидел, что надо syscure. mbab не переделывал, если надо переделаю
логи прикладываю
-
У меня вопрос по одному файлу - C:\Documents and Settings\Admin\Local Settings\Temp\Toolbar.exe, знаком ли он Вам?
-
-
Junior Member
- Вес репутации
- 54
а я как раз думал у Вас спросить про этот файл..)
не знаком.
-
Поищите его в АВЗ - Сервис - Поиск файлов на диске - выберите директорию C:\Documents and Settings\Admin\Local Settings\Temp\ в поле "Имя файла" введите Toolbar.exe. Если найдёт - отметьте его галочкой и нажмите "отправить помеченные файлы в карантин". Если не найдёт - сообщите.
-
-
Junior Member
- Вес репутации
- 54
-
В логах чисто. Что с проблемой?
-
-
Junior Member
- Вес репутации
- 54
ясно. проблем вроде никаких не наблюдается.
спасибо за помощь!
*Thumbs up*
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 14
- В ходе лечения вредоносные программы в карантинах не обнаружены
-