При включении компьютера Антивирус Касперского находит email-worm.win32.brontok.oh, но вылечить файл невозможно, удаление тоже ничего не даёт - при повторном включении всё повторяется. Пожалуйста, помогите!
При включении компьютера Антивирус Касперского находит email-worm.win32.brontok.oh, но вылечить файл невозможно, удаление тоже ничего не даёт - при повторном включении всё повторяется. Пожалуйста, помогите!
Алексей@,обновите базы AVZ и сделайте новые логи.Внимание !!! База поcледний раз обновлялась 8/25/2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
+ отключите востановление системы.
Да, хорошо.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin QuarantineFile('C:\WINDOWS\system32\Tbar.exe',''); QuarantineFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Refresher.exe',''); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=97502).
I am not young enough to know everything...
Отправил..
В карантине файлы чистые.
Больше ничего подозрительного не вижу.
На что конкретно ругается антивирус?
I am not young enough to know everything...
При включении Антивирус Касперского выдаёт сообщение следующего содержания:
Generic Host Process for Win32 Services пытается получить доступ к вредоносному ПО.
Обнаружен вирус:
Email-Worm.Win32.brontok.oh
Расположение:
C:\Program Files\WindowsNT\Accesories\wordpad
Дальше запрашивает, удалить или нет. (лечение невозможно)
После удаления комп перезагружается, и всё повторяется снова.
Ну, работе системы вирус пока вроде не мешает, но, понятное дело, очень напрягает...
А, и ещё диспетчер задач перестал открываться.
Последний раз редактировалось Алексей@; 06.02.2011 в 23:09.
пришлите этот файл согласно разделу правил Приложение 2. Поиск файлов при помощи AVZ.
Не получается этот файл добавить в карантин. Сначала идёт добавление файла, и выдаётся сообщение, что оно завершено, но в карантине папка остаётся пустой, а в протоколе AVZ выдаётся сообщение:
Ошибка карантина файла, попытка прямого чтения (wordpad.exe.new)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\wordpad.exe.new)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\wordpad.exe.new)
Карантин с использованием прямого чтения - ошибка
Алексей@, файл так и называется wordpad.exe.new ?
Сделайте лог полного сканирования МВАМ
- Проведите процедуру, которая описана в первом сообщении тут. Результат загрузки напишите в сообщении здесь.
regist,
Да, файл так и называется - wordpad.exe.new
Лог AVZ отправил, вот данные:
Файл сохранён как: 110208_045728_virusinfo_files_ADMIN-3D3BCBC23_4d50a308c8018.zip
Размер файла: 41991716
MD5: 6b8a8790afe5ab5a614d765a6ed590bf
Лог сканирования MBAM прилагаю:
Удалите в МВАМКод:Заражённые ключи в реестре: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9D64F819-9380-8473-DAB2-702FCB3D7A3E} (Trojan.Ransom) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9D64F819-9380-8473-DAB2-702FCB3D7A3E} (Trojan.Ransom) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Target Marketing Agency (Adware.TMAagent) -> No action taken. Заражённые папки: c:\documents and settings\administrator\application data\winxrar (Trojan.Agent) -> No action taken. Заражённые файлы: c:\documents and settings\administrator\application data\winxrar\after.png (Trojan.Agent) -> No action taken. c:\documents and settings\administrator\application data\winxrar\data (Trojan.Agent) -> No action taken. c:\documents and settings\administrator\application data\winxrar\dir.png (Trojan.Agent) -> No action taken. c:\documents and settings\administrator\application data\winxrar\dot.gif (Trojan.Agent) -> No action taken. c:\documents and settings\administrator\application data\winxrar\htmlayout.dll (Trojan.Agent) -> No action taken. c:\documents and settings\administrator\application data\winxrar\key (Trojan.Agent) -> No action taken. c:\documents and settings\administrator\application data\winxrar\logo.png (Trojan.Agent) -> No action taken. c:\documents and settings\administrator\application data\winxrar\logo2.png (Trojan.Agent) -> No action taken. c:\documents and settings\administrator\application data\winxrar\myriadwebpro-condensed.ttf (Trojan.Agent) -> No action taken. c:\documents and settings\administrator\application data\winxrar\rules.css (Trojan.Agent) -> No action taken. c:\documents and settings\administrator\application data\winxrar\sb-h-scroll-next.png (Trojan.Agent) -> No action taken. c:\documents and settings\administrator\application data\winxrar\sb-h-scroll-prev.png (Trojan.Agent) -> No action taken. c:\documents and settings\administrator\application data\winxrar\sb-scroll-back.png (Trojan.Agent) -> No action taken. c:\documents and settings\administrator\application data\winxrar\sb-scroll-base.png (Trojan.Agent) -> No action taken. c:\documents and settings\administrator\application data\winxrar\sb-scroll-slider.png (Trojan.Agent) -> No action taken. c:\documents and settings\administrator\application data\winxrar\sb-v-scroll-next.png (Trojan.Agent) -> No action taken. c:\documents and settings\administrator\application data\winxrar\sb-v-scroll-prev.png (Trojan.Agent) -> No action taken. c:\documents and settings\administrator\application data\winxrar\scroll.css (Trojan.Agent) -> No action taken. c:\documents and settings\administrator\application data\winxrar\sview (Trojan.Agent) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
проверьте эти файлы на http://www.virustotal.com/ ссылки на результат проверки напишите здесь.
+ Сделайте новый лог сканирования MBAM.
------------------------
Закройте все программы
Отключите
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('C:\WINDOWS\wordpad.exe.new',''); QuarantineFile('C:\WINDOWS\system32\wordpad.exe.new',''); BC_ImportALL; ExecuteWizard('TSW', 2, 3, true); BC_Activate; RebootWindows(true); end.
если что-нибудь попадёт в карантин, пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы.
Последний раз редактировалось regist; 08.02.2011 в 13:43. Причина: добавил скрипт
Скрипт в AVZ выполнил, в карантине оказались файлы, поэтому отправил вам его.
На сайт http://www.virustotal.com/ конечно отправил запрос, но, думаю, ждать ответа смысла нет - при загрузке файла wordpad.exe.new для отправки указан размер файла - 0 байт. Хотя на диске он занимает около 300 КБ.
Заражённые файлы в MBAM удалил, вот новый лог:
Алексей@, деинсталлируйте все ненужные тулбары, в частности Tbar, AskBar, и т.д.
Выполните скрипт в АВЗ -
удалите в хайджеке (после деинсталяции тулбаров могу и не быть)Код:begin ExecuteRepair(2); ExecuteRepair(3); ExecuteRepair(4); ExecuteWizard('TSW', 2, 3, true); end.
удалите в MBAMКод:O2 - BHO: (no name) - {1a894269-562d-459e-b17e-efd8de428e41} - (no file) O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - (no file) O2 - BHO: (no name) - {88888888-8888-8888-8888-888888888888} - (no file) O2 - BHO: script helper for ie - {9B5FB65F-631E-4564-ABF2-AD71845B28E0} - (no file) O2 - BHO: MS Media Module - {9D64F819-9380-8473-DAB2-702FCB3D7A3E} - (no file) O3 - Toolbar: (no name) - {5BCDC9E9-A980-4B53-B2E8-60CFF484DA61} - (no file) O3 - Toolbar: (no name) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - (no file) O3 - Toolbar: (no name) - {1a894269-562d-459e-b17e-efd8de428e41} - (no file)
перезагрузите компьютерКод:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Tbar c:\WINDOWS\system32\Tbar.exe c:\program files\vistapack xp\Extras\tbar\Tbar.exe
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
+ новый лог сканирования MBAM
удалите в MBAM
Код:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Tbar c:\WINDOWS\system32\Tbar.exe c:\program files\vistapack xp\Extras\tbar\Tbar.exe
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 6
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Алексей@, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.