-
Junior Member
- Вес репутации
- 49
подхватил заразу rojan.mulDrop1.48542
Добрый день. Словил вирус и он начал плодиться в системе в каталоге где есть exe файлы создает файлы с названием каталога и расширением exe, rar и иногда scr. в архиве 5 файлов
1. wamtv.exe
2. ABBL-COUNTERS.txt
3.ABWL081010.txt
4.aph_wmuf.gif
5.aphish.gif
Все папки теперь "только для чтения" снятие галочки не помогает
пытался прибить через AVPtool он находит эти файлы под именем HEUR:Trojan.Win32.Generic
dr.web определяет его как Trojan.mulDrop1.48542
ЗЫ. Забыл выключить выключил восстановление системы перед выполнением скриптов. выключил после всех операций.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 49
не могу загрузить файл карантин. Пишет "Результат загрузки
Ошибка загрузки. Данный файл уже был загружен"
-
- удалите в MBAM
Код:
Заражённые ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\Vkontakte (Trojan.Fkantakte) -> No action taken.
Заражённые файлы:
c:\programdata\microsoft\Search\Data\applications\Windows\tmp.edb (Trojan.Chydo) -> No action taken.
c:\system volume information\_restore{797d09d0-9447-445c-acb1-466f2a116d62}\RP34\A0058316.EXE (Riskware.Tool.CK) -> No action taken.
c:\system volume information\_restore{797d09d0-9447-445c-acb1-466f2a116d62}\RP48\A0076546.exe (Virus.Expiro) -> No action taken.
c:\system volume information\_restore{fda4c899-12d3-487b-9c5d-bca5c336ff02}\RP41\A0034264.exe (Worm.VB) -> No action taken.
c:\system volume information\_restore{fda4c899-12d3-487b-9c5d-bca5c336ff02}\RP41\A0034302.exe (Riskware.Tool.CK) -> No action taken.
c:\system volume information\_restore{fda4c899-12d3-487b-9c5d-bca5c336ff02}\RP41\A0034859.exe (Trojan.Dropper.PGen) -> No action taken.
c:\system volume information\_restore{fda4c899-12d3-487b-9c5d-bca5c336ff02}\RP41\A0034904.exe (Trojan.Downloader) -> No action taken.
c:\system volume information\_restore{fda4c899-12d3-487b-9c5d-bca5c336ff02}\RP41\A0034950.exe (Trojan.Agent) -> No action taken.
c:\Windows\System32\secushr.dat (Malware.Trace) -> No action taken.
-
-
Junior Member
- Вес репутации
- 49
удалил.
Сейчас проверю и удалю те архивы и понаблюдаю не будет ли рецидивов
-
Junior Member
- Вес репутации
- 49
троян c:\programdata\microsoft\Search\Data\applications\ Windows\tmp.edb
появляется после перезагрузки и похоже не долечил.. файлы все равно только для чтения
-
- Выполните скрипт в AVZ
Код:
begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
RebootWindows(true);
end.
-
-
Junior Member
- Вес репутации
- 49
выполнил
но не помогает файлы tmp.edb все там же.
пока нашел несколько копий этих файлов в allusers
и еще, забыл сказать 2-3 дня уже комп не выключается. завершает работу, черный экран а комп продолжает работать. кулера крутятся питание идет но чтение с винта не происходит ( индикатор HDD не мограет)
Добавлено через 4 минуты
решил вручную его удалить. пишет "Операция не может быть завершена, посколько этот файл открыт в windows Search
Последний раз редактировалось advansed; 10.01.2011 в 21:20.
Причина: Добавлено
-
но не помогает файлы tmp.edb все там же.- это не зловреды
-
-
Junior Member
- Вес репутации
- 49
но доктор веб определяет его как вирус и удаляет.
Какие еще советы. достал уже этот вирь
Писал в саппорт доктор вэба они отмахнулись от ответа. мол вирус нам известен
-
Пришлите файл c:\programdata\microsoft\Search\Data\applications\ Windows\tmp.edb запакованным в архив ZIP с паролем: virus по ссылке Прислать запрошенный карантин вверху темы
-
-
Junior Member
- Вес репутации
- 49
Результат загрузки
Файл сохранён как 110112_182438_tmp_4d2dc7b67b348.zip
Размер файла 5129260
MD5 892d427550f050dbf6bea8163649fc55
Файл закачан, спасибо!
-
попробуйте пролечитесь так с помощью LiveCD: от DrWeb
-
-
Junior Member
- Вес репутации
- 49
проверил через drweb livecd,не помогло. около полутора суток сканировал, удалил зараженные объекты, а сам источник дряни так найти и не получается. Компьютер стремительно наполняется вирусами
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- \\tmp.edb - Worm.Win32.Agent.adx ( DrWEB: Trojan.MulDrop1.48542, BitDefender: Gen:Variant.Graftor.89, AVAST4: Win32:Chydo [Drp] )
-