-
Junior Member
- Вес репутации
- 56
Постоянно запущенное проложение "Excel", и др.
Здравствуйте!
Второй раз за два месяца переставляю систему. Каждый раз система доходила до состояния БСОДа при загрузке системы. Только переуставновил систему и сразу же наблюдаются признаки (они наблюдались и ранее):
Проблемы такие: постоянно запускающееся приложение Excel, постоянно появляющиеся в автозагрузке элементы filekan и socksa. Также иногда появляется процесс Wowexec.
Из всего прочего на компьютере установлена java jre.
Последний раз редактировалось thyrex; 14.02.2012 в 00:58.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте!
1. Скачайте последнюю версию АВЗ
2. Обновите базы АВЗ
3. Переделайте логи
-
-
Junior Member
- Вес репутации
- 56
Последний раз редактировалось thyrex; 14.02.2012 в 00:59.
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\FileKan.exe','');
QuarantineFile('C:\WINDOWS\system32\SocksA.exe','');
QuarantineFile('D:\upload\fallout 2 NOT fucked\mapper\scripts\int2ssl.exe','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\tel.xls.exe','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('D:\tel.xls.exe','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('E:\tel.xls.exe','');
QuarantineFile('C:\Program Files\internet explorer\setupapi.dll','');
DeleteFile('C:\Program Files\internet explorer\setupapi.dll');
DeleteFile('E:\tel.xls.exe');
DeleteFile('E:\autorun.inf');
DeleteFile('D:\tel.xls.exe');
DeleteFile('D:\autorun.inf');
DeleteFile('C:\tel.xls.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\FileKan.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','BSserver');
DeleteFile('C:\WINDOWS\system32\SocksA.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ASocksrv');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
Кроме Internet Explorer, какие ещё браузеры установлены?
-
-
Junior Member
- Вес репутации
- 56
Все скрипты выполнены, карантин отправил. Кроме IE используется FireFox Portaible (без установки). Надо еще раз логи делать?
Хотел бы задать ворпос, с таким положением была возможность отсылки информации с компьютера на сторону? Интересует вчерашний день (собсно день после переустановки).
-
Логи нужно повторить. Результатов карантина пока нет, но вроде звери не те, которые крадут информацию.
-
-
Junior Member
- Вес репутации
- 56
Карантин еще раз прислать?
Просто перед тем как отвалилась система произошел очень неприятный инцидент - кража файла ключа от электронной системы оплаты и соотв. пароля от него. Да еще и зашли в систему оплаты с моего IP, тоесть возможно какое-то удаленное управление или что-то вроде этого. Кстати примерно в это время (время постороннего входа в систему оплаты) через несколько минут пк перезагрузился сам, и болеее не загружался. Сообщаю просто для сведения.
Последний раз редактировалось navy_seals; 19.06.2011 в 08:08.
-
Junior Member
- Вес репутации
- 56
Прикрепил логи в пред. сообщении.
-
D:\upload\fallout 2 NOT fucked\mapper\scripts\int2ssl.exe - вот этого бы проверить, проверьте на VirusTotal
Ссылку на результат прикрепите к следующему сообщению.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 20
- В ходе лечения вредоносные программы в карантинах не обнаружены
-