-
Junior Member
- Вес репутации
- 54
Последствия заражения
Добрый вечер ! Нахватал вирусов. Пролечил Касперским и вебом .Антивирусники ничего не находят. Хотелось бы окончательно убедиться что уже никакая зараза не осталась. Просканировал KRT 2010. Все вроде чисто. Перешел в ручное управление , выполнил сканирование . Отправляю файл для проверки . Пожалуйста посмотрите.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVPTool:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\Cursors\3dwnesw.cur:Bx8FRiJ','');
QuarantineFile('C:\WINDOWS\wejnbem.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\opovueiyf.sys','');
DeleteFile('C:\WINDOWS\Cursors\3dwnesw.cur:Bx8FRiJ');
DeleteFile('C:\WINDOWS\wejnbem.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft wejn bemer');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('nqbninytrp');
BC_DeleteFile('C:\WINDOWS\system32\drivers\opovueiyf.sys');
BC_Activate;
CreateQurantineArchive('C:\quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Файл C:\quarantine.zip загрузите по ссылке прислать запрошенный карантин.
Сделайте новый отчёт AVPTool
-
-
Junior Member
- Вес репутации
- 54
Спасибо. Карантин отправил по ссылки. Новый отчет AVPTool прилагаю.
-
Сделайте лог программы Hijackthis
-
-
Junior Member
- Вес репутации
- 54
Полученный отчет прилагаю. Хочу вас проинформировать что при запуске винды пытается установиться какое то оборудование , запускается стандартный мастер установки нового оборудования. Я ничего не устанавливаю, съемные носители отсутствуют. Может это признаки работы вирусных программ ?
-
Неизвестное устройство удалите через диспетчер устройств
Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 54
отчет по сканированию прилагаю.
-
- удалите в MBAM
Код:
Зараженные ключи в реестре:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\6jb28dn-0s_--h (Adware.AdRotator) -> No action taken.
HKEY_CURRENT_USER\Software\MS Sertified app (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ESENT\Process\netprotocol (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DARKNESS (Trojan.Backdoor) -> No action taken.
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_DISABLE_NAVIGATION_SOUNDS\services.exe (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\lgootkitsso (Trojan.GootKit) -> No action taken.
Зараженные папки:
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.
Зараженные файлы:
C:\Documents and Settings\oem\Local Settings\Temporary Internet Files\Content.IE5\36ZN1X0E\1[1].exe (Trojan.Agent.Gen) -> No action taken.
C:\Documents and Settings\oem\Local Settings\Temporary Internet Files\Content.IE5\36ZN1X0E\1[2].exe (Trojan.Agent.Gen) -> No action taken.
C:\WINDOWS\system32\6Jb28DN-0S_--h.exe (Adware.AdRotator) -> No action taken.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\lowsec\user.ds.lll (Stolen.data) -> No action taken.
C:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\msxslt.dat (Malware.Trace) -> No action taken.
- Выполните скрипт в AVZ
Код:
begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFileMask('C:\Documents and Settings\oem\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.
После перезагрузки:
- Сделайте повторный лог MBAM
-
-
Junior Member
- Вес репутации
- 54
-
в логе чисто, что с проблемой?
-
-
Junior Member
- Вес репутации
- 54
Работаю нормально. Признаков заражения не наблюдаю. Разберусь с всплывающим окном который требует установки оборудования, и тогда будет все в полном порядке. Спасибо вам больше за помощь !!!
-
cами прописывали?
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 10.10.10.10:3128
если нет, то тоже профиксите
Профиксите в HijackThis
Код:
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: QuickStores-Toolbar - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - mscoree.dll (file missing)
O3 - Toolbar: QuickStores-Toolbar - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - mscoree.dll (file missing)
Обновите систему
- Поставте все последние обновления системы Windows - тут
- поставте Adobe Reader 9.3 или удалите старый.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
-