-
Junior Member
- Вес репутации
- 50
Не работают антивирусные сайты - TR/Patched.GM.6
Началось с того, что обнаружил в автозагрузке странный файл, состоящий из цифр.exe. Полез в ту папку \Local Settings\Temp и обнаружил там кучу таких файлов. Запустил сканнер Авиры, он нашел несколько подозрительных TR/Patched.GM.6, в частности в explorer.exe. Полез на антивирусные сайты, они все не работают, даже этот не работал. Но заработал после команды route -f.
Подскажите, как бороться?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключите системное восстановление!!! как- посмотреть можно тут
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('C:\WINXP\system32\stylyi.exe','');
QuarantineFile('C:\WINXP\system32\a7249dcf.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-3324464501-9651551010-379352792-2154\syscr.exe','');
QuarantineFile('C:\Documents and Settings\A\Application Data\ltzqai.exe','');
QuarantineFile('C:\WINXP\system32\drivers\JulaWdm.sys','');
QuarantineFile('C:\WINXP\system32\drivers\Jula.sys','');
QuarantineFile('c:\winxp\system32\julapan.exe','');
DeleteFile('C:\Documents and Settings\A\Application Data\ltzqai.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-3324464501-9651551010-379352792-2154\syscr.exe');
DeleteFile('C:\WINXP\system32\a7249dcf.exe');
DeleteFile('C:\WINXP\system32\stylyi.exe');
DeleteFile('C:\WINXP\system32\2f047a20.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Сделайте лог Gmer
- Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 50
-
Junior Member
- Вес репутации
- 50
И этот ещё. Дважды пробовал, но почему-то вместе со всеми не прикрепился.
-
- Сохраните текст ниже как 1.bat в ту же папку, где находится ncc3w44x.exe (GMER) и запустите этот батник(1.bat):
Код:
ncc3w44x.exe -del service tcwhswmp
ncc3w44x.exe -del file "C:\WINXP\system32\ncyoi.dll"
ncc3w44x.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\tcwhswmp"
ncc3w44x.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\tcwhswmp"
ncc3w44x.exe -reboot
Компьютер перезагрузится.
После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;
-
-
Junior Member
- Вес репутации
- 50
А то, что Mbam нашел - делать с этим что-нибудь, удалить, или не трогать? Пока прога открыта, а то довольно долгий процесс сканирования, если комп перезагрузится и потом это делать.
-
Сообщение от
saiko3p
А то, что Mbam нашел - делать с этим что-нибудь, удалить, или не трогать?
в логе подозрительного нет
-
-
Junior Member
- Вес репутации
- 50
Ааа, я подумал что это опасные штуки:
C:\Program Files\WinRAR\original\RAR Slayer v1.1.exe (Malware.Tool) -> No action taken.
C:\Program Files\The Bat!\Keygen.exe (Trojan.Agent.CK) -> No action taken.
Добавлено через 5 минут
Запустил 1.бат но вылезла ошибка:
An error 0x00000002 occured during deletion of file "C:\WINXP\system32\ncyoi.dll": не удается найти указанный файл
Добавлено через 1 час 7 минут
thyrex - помогите, плз, добить гадов, а то polword похоже ушел.
Последний раз редактировалось saiko3p; 03.11.2010 в 15:37.
Причина: Добавлено
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
-
Здесь чисто
Папку C:\Program Files\Common Files\2c8d5501 удалите вручную
Смените все пароли
Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена
Установите SP3 (может потребоваться активация) + все новые обновления для Windows
Установите Internet Explorer 8 (даже если им не пользуетесь)
Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Сайты антивирусов заработали с тех пор как я прописал "route -f", с тех пор работают без проблем.
Но при проверке Авира по прежнему находит:
C:\WINXP\explorer.exe
[ОБНАРУЖЕНИЕ] Троянская программа TR/Patched.GM.6
[ПРЕДУПРЕЖДЕНИЕ] 'Троянская программа TR/Patched.GM.6'.
C:\WINXP\system32\dllcache\explorer.exe
[ОБНАРУЖЕНИЕ] Троянская программа TR/Patched.GM.6
Или это ложное срабатывание?
И ещё подскажите,плз, чтобы sp3 и обновления поставить - нужно самому всё качать, или винда само может всё автоматом сделать??
Добавлено через 59 минут
Проверил файл на сайте вирустотал:
File name:
explorer.exe
Submission date:
2010-11-03 21:30:36 (UTC)
Current status:
finished
Result:
1/ 43 (2.3%)
Видимо, ложная тревога.
Последний раз редактировалось saiko3p; 04.11.2010 в 00:39.
Причина: Добавлено
-
C:\WINXP\explorer.exe и C:\WINXP\system32\dllcache\explorer.exe замените чистыми с дистрибутива http://virusinfo.info/showthread.php?t=51654
А лучше сразу приступить к обновлению системы
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Большое спасибо за помощь! Установил все обновления, теперь авира ничего не находит.
-
Junior Member
- Вес репутации
- 50
Возник ещё вопрос: всех этих и обновлений и антивируса со встроенным фаирволом (у меня Avira premium security suit) достаточно, чтобы дрянь всякая не лезла в комп, или нужно ещё что-то поставить?
-
Junior Member
- Вес репутации
- 50
-
Чтобы ответить на Ваш вопрос, нужно пользоваться данным продуктом
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Обновил винду, но теперь стало "Эта копия Windows не прошла проверку подлинности" и windows update не работает из-за этой подлинности (подлости!).
Удалил отсюда HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify папку ‘WgaLogon’
Теперь не достаёт меня надписями при загрузке, но как быть с установкой критических обновлений?
В настройках у меня включено автом. обновление. Поставил там время на 0.00 и перезагрузил комп, но в это время никаких шевелений (обращений к винту и тд) не было.
Теперь винда не будет обновляться?
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 17
- В ходе лечения вредоносные программы в карантинах не обнаружены
-