-
Junior Member
- Вес репутации
- 49
Новый вирус
На флешке появилась скрытая папка BMW, файл sedistabela.exe. Каспер не берет. Вирус его просто блокирует. Проник в комп, распространился по локальной сети. Пытается внедряться в различные процессы. При разблокировке unlocker ом "вешает" проводник. Жду помощи и любых вариантов.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\wuaucldt.exe','');
QuarantineFile('c:\documents and settings\Администратор\wuaucldt.exe','');
QuarantineFile('c:\windows\system32\config\systemprofile\wuaucldt.exe','');
QuarantineFile('C:\windows\system32\regedit.exe','');
QuarantineFile('C:\windows\ZSSnp211.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\ygmdrm.exe','');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\ygmdrm.exe');
DeleteFile('c:\documents and settings\Администратор\wuaucldt.exe');
DeleteFile('c:\windows\system32\config\systemprofile\wuaucldt.exe');
DeleteFile('c:\windows\system32\wuaucldt.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
-
-
Junior Member
- Вес репутации
- 49
-
Junior Member
- Вес репутации
- 49
Карантин загрузил, скрипт выполнил, логи разместил, однако, информация в моей теме не появилась. Следует ли мне повторить процедуру, либо данные получены?
-
Сообщение от
DVMin
информация в моей теме не появилась
Выходной все-таки
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('J:\BMW\sedistabela.exe','');
QuarantineFile('C:\windows\system32\regedit.exe','');
QuarantineFile('C:\windows\system32\DRIVERS\cdrom.sys','');
DeleteFile('C:\windows\system32\regedit.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
DeleteFile('J:\autorun.inf');
DeleteFile('J:\BMW\sedistabela.exe');
DeleteFileMask('J:\BMW', '*.*', true);
DeleteDirectory('J:\BMW');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 49
Простите ламера... В скрипте, я так понимаю, "J" - флешка. А если она у меня под именем "F"? Изменять скрипт?
-
-
-
Junior Member
- Вес репутации
- 49
Карантин выслал. Логи выкладываю.
-
Junior Member
- Вес репутации
- 49
итог
После выполнения всех операций sedistabela.exe из папки BMW исчез и больше пока не появлялся. Папку просто удалил. Однако остались последствия. Антивирус пришлось переустанавливать, ибо он отказывался проверять объекты. При загрузке компа появился странный дополнительный писк и непонятное черное окно менее, чем на секунду. Комп больше не зависает и сам собой не перезагружается.
Огромное спасибо за помощь.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\windows\system32\regedit.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новый лог virusinfo_syscheck.zip
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 49
Последний раз редактировалось DVMin; 02.11.2010 в 15:19.
-
выполните скрипт
Код:
begin
QuarantineFile('C:\windows\system32\meclvkmh.dll','');
end.
пришлите карантин согласно приложения 3 правил
-
-
Junior Member
- Вес репутации
- 49
после выполнения скрипта:
Ошибка карантина файла, попытка прямого чтения (C:\windows\system32\meclvkmh.dll)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\windows\system32\meclvkmh.dll)
Карантин с использованием прямого чтения - ошибка
-
Пришлите файл C:\windows\system32\meclvkmh.dll запакованным в архив ZIP с паролем: virus по ссылке Прислать запрошенный карантин вверху темы
-
-
После выполнения предыдущей рекомендации
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\windows\system32\meclvkmh.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyStrParamWrite('HKLM','system\currentcontrolset\control\securityproviders','SecurityProviders', 'msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll');
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новый лог
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 49
Файл meclvkmh.dll в C:\windows\system32\ отсутствует
-
Junior Member
- Вес репутации
- 49
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 49
Думаю, с проблемой покончено. Всем огромное СПАСИБО за неоценимую помощь! Спасли конкурс "Педагог года"!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 12
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\администратор\\application data\\ygmdrm.exe - Trojan.Win32.Pincav.ajvn ( DrWEB: Win32.HLLW.Autoruner.22584, BitDefender: Gen:Variant.Rimecud.3, AVAST4: Win32:Rimecud-G [Trj] )
- c:\\windows\\system32\\config\\systemprofile\\wuau cldt.exe - Backdoor.Win32.Agent.bdhm ( DrWEB: BackDoor.Bulknet.511, BitDefender: Trojan.Agent.AQJM, NOD32: Win32/Wigon.OL trojan, AVAST4: Win32:DNSChanger-ZZ [Trj] )
- c:\\windows\\system32\\drivers\\cdrom.sys - Virus.Win32.Protector.h ( DrWEB: BackDoor.Bulknet.508, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.N virus, AVAST4: Win32:Cutwail-AP [Rtk] )
- j:\\bmw\\sedistabela.exe - Trojan.Win32.Pincav.ajvn ( DrWEB: Win32.HLLW.Autoruner.22584, BitDefender: Gen:Variant.Rimecud.3, AVAST4: Win32:Rimecud-G [Trj] )
-