-
Junior Member
- Вес репутации
- 55
Запустил Trojan.Win32.FraudPack.bjyt
Здравствуйте!
Запустил exe-файл, который впоследствии AVP-Tool определила как Trojan.Win32.FraudPack.bjyt (установленная у меня AVG его не определяет). Вирус сделал нечто и самоудалился. Нарушений работы компьютера я пока не обнаружил. Поиском по времени создания файла я обнаружил, что вирус поместил в папку Windows\System32 файл kr_done, состоящий из десяти цифр и вроде безобидный. Также этим временем датированы два файла в папке Documents and Settings\Olvin\Local Settings\Application Data\Microsoft\Internet Explorer\Recovery\Last Active вида {длинный номер}.dat и recoverystore{другой длинный номер}.dat (сейчас номера отличаются одним знаком; с тех пор эти файлы обновились и, вероятно, переименовались). Кроме того, оказался отключен брандмауэр, но я не могу поручиться, что это не произошло раньше.
Хотелось бы узнать, что именно сделал вирус (на сайте Касперского описание отсутствует), и требуется ли лечение. Логи прилагаются.
Заранее благодарю.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Нмчего подозрительного. Сделайте лог МВАМ
-
-
Junior Member
- Вес репутации
- 55
Вот лог. За время работы компьютера ночью файл-вирус снова самоудалился. Могу его снова скачать и прислать, если надо.
-
Удалите в МВАМ -
Код:
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\kr_done1 (Malware.Trace) -> No action taken.
Зараженные папки:
C:\WINDOWS\system32\AdCache (AdWare.Cydoor) -> No action taken.
C:\WINDOWS\system32\kr_done1 (Malware.Trace) -> No action taken.
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\Olvin\Application Data\SwordLand.exe','');
QuarantineFile('C:\Documents and Settings\Olvin\Application Data\ArcticQuest2.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
Последний раз редактировалось olejah; 15.09.2010 в 11:08.
-
-
Junior Member
- Вес репутации
- 55
Послал карантин и пожалел - 82 Мб.
На самом деле, эти два файла у меня давно, и я их давно не запускал. Некоторые антивирусы на них ругаются, но сейчас не они были причиной заражения.
А что с найденным MMVB драйвером? Вирус или безобидный Алкоголь (Демон)?
-
avptool пользовались когда-то?
-
-
Junior Member
- Вес репутации
- 55
Перед открытием темы. И эта программа еще на моем компьютере, при перезагрузке напоминает о себе.
-
-
-
Junior Member
- Вес репутации
- 55
Понятно, так надо что-нибудь еще лечить или нет?
-
Карантина я не увидел, Вы уверены, что эти фалы чистые? - C:\Documents and Settings\Olvin\Application Data\SwordLand.exe и C:\Documents and Settings\Olvin\Application Data\ArcticQuest2.exe
-
-
Junior Member
- Вес репутации
- 55
Странно, карантин загружался. Я не уверен, что файлы чистые, но уверен, что сейчас они ни при чем - я точно знаю, как запустил процесс заражения.
-
Кроме них - ничего подозрительного.
-
-
Junior Member
- Вес репутации
- 55
Спасибо, буду наблюдать, если что - напишу еще.