Printable View
Каспер 6 постоянно ругается на
Trojan-Downloader.Win32.Small.yvn
C:\WINDOWS\Fonts\Framdee.ttf
и C:\System Volume Information\_restore{0F4391D3-5352-4BBD-831F-9073BC733827}\RP136\A0057442.ttf
После полной проверки ситуация продолжается. Файлы удаляются и восстанавливаются снова.
Как быть?
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]F2 - REG:system.ini: UserInit=userinit.exe,
O20 - Winlogon Notify: fsp_abwl - C:\WINDOWS\SYSTEM32\fsp_abwl.dll
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Fonts\Framdee.ttf','');
QuarantineFile('C:\Downloads\Программы\flash.exe','');
DeleteFile('C:\WINDOWS\Fonts\Framdee.ttf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин [COLOR="Red"][B]по красной ссылке[/B][/COLOR] вверху темы.
- Прикрепите логи к новому сообщению.
Проблема пока осталась
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Fonts\Framdee.ttf','');
QuarantineFile('C:\WINDOWS\SYSTEM32\fsp_abwl.dll','');
DeleteFile('C:\WINDOWS\SYSTEM32\fsp_abwl.dll');
DeleteFile('C:\WINDOWS\Fonts\Framdee.ttf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин [COLOR="Red"][B]по красной ссылке[/B][/COLOR] вверху темы.
- Прикрепите логи к новому сообщению.
Ситуация без изменений.
Ушел спать. До завтра.
выполните скрипт...
[code]
begin
QuarantineFile('C:\DOCUME~1\Andrey\LOCALS~1\Temp\ASFWHide','');
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
Не получается выполнить скрипт -
"Ошибка карантина файла, попытка прямого чтения (C:\DOCUME~1\Andrey\LOCALS~1\Temp\ASFWHide)
Карантин с использованием прямого чтения - ошибка"
выполните скрипт...
[code]
begin
QuarantineFile('C:\DOCUME~1\Andrey\LOCALS~1\Temp\ASFWHide','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
Отправил
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('ASFWHide');
DeleteFile('C:\WINDOWS\Fonts\Framdee.ttf');
DeleteFile('C:\DOCUME~1\Andrey\LOCALS~1\Temp\ASFWHide');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи ...
Скрипт выполнил. Вот логи
В логах чисто.
Удалите сами:
[CODE]C:\Downloads\Программы\flash.exe-Вредоносный объект Downloader.Win32.Keylogger.a[/CODE]
Жалобы есть?
Есть, этот гад Framdee.ttf жив!
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
Но теперь Каспер его легко удалил, без перезагрузки.
[QUOTE=aldinus;262597]Есть, этот гад Framdee.ttf жив!
Но теперь Каспер его легко удалил, без перезагрузки.[/QUOTE]
значит проблема решилась?
Да, но не понимаю, почему снова при перезагрузке этот файл появляется? Еще остался вот такой момент -
"Потенциально опасное ПО
Invader
Процесс (PID 204) c:/windows/Explorer.exe
Процесс пытается внедриться в другой процесс..."
Завершить, запретить, Пропустить???
Не знаю, что и думать.
Вы Куреитом систему проверяли?
Нет, я не смог скачать его по ссылке в Правилах.
[QUOTE=aldinus;262610]Нет, я не смог скачать его по ссылке в Правилах.[/QUOTE]попробуйте сейчас.
Скачал. Буду пробовать.
[QUOTE=aldinus;262619]Скачал. Буду пробовать.[/QUOTE]давайте не будем флудить. Не забудьте отключить Каспера на время проверки.