Появилось подозрение, что компьютер заражен. Посылаю необходимые логи
Появилось подозрение, что компьютер заражен. Посылаю необходимые логи
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\Administrator\csrss.exe',''); DeleteFile('C:\Documents and Settings\Administrator\csrss.exe'); QuarantineFile('C:\Documents and Settings\Administrator\Application Data\juzjf.exe',''); DeleteFile('C:\Documents and Settings\Administrator\Application Data\juzjf.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman '); BC_ImportAll; ExecuteSysClean; ExecuteRepair(11); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Сделайте лог MBAM
Посылаю все логи, после сканирования
- удалите в MBAM
Выполните скрипт в AVZКод:Зараженные параметры в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\disableregedit (Hijack.Regedit) -> No action taken. Зараженные файлы: C:\Documents and Settings\Administrator\csrss.exe (Trojan.Palevo.Gen.B3) -> No action taken. C:\Program Files\DrWeb Enterprise Suite\Infected.!!!\26[1].exe.3AB95FD5 (Trojan.Dropper) -> No action taken. C:\Program Files\DrWeb Enterprise Suite\Infected.!!!\26[1].exe.52DABE9D (Trojan.Dropper) -> No action taken. C:\Program Files\DrWeb Enterprise Suite\Infected.!!!\602.exe.68C8AA52 (Trojan.Dropper) -> No action taken. C:\Program Files\DrWeb Enterprise Suite\Infected.!!!\730.exe.6DD7379 (Trojan.Dropper) -> No action taken. C:\Program Files\DrWeb Enterprise Suite\Infected.!!!\juzjf.exe.52DABE9D (Trojan.Dropper) -> No action taken. C:\Program Files\DrWeb Enterprise Suite\Infected.!!!\juzjf.exe.695E243B (Trojan.Dropper) -> No action taken.
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); DeleteFile('C:\Documents and Settings\Administrator\csrss.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Сделайте повторный лог virusinfo_syscheck.zip;
Посылаю логи после лечения
В логах подозрительного нет.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\administrator\\csrss.exe - Packed.Win32.Katusha.o ( DrWEB: BackDoor.Siggen.27152, BitDefender: Trojan.Generic.4474223, AVAST4: Win32:MalOb-AI [Cryp] )
Уважаемый(ая) mlsv, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.