Добрый день.
Машинка заражена якобы "антивирусом" Malware Doctor
После чистки автозагрузки и удаления подозрительных файлов компьютер работает день-два нормально потом снова подхватывает заразу.
Пожалуйста посмотрите логи.
Printable View
Добрый день.
Машинка заражена якобы "антивирусом" Malware Doctor
После чистки автозагрузки и удаления подозрительных файлов компьютер работает день-два нормально потом снова подхватывает заразу.
Пожалуйста посмотрите логи.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O4 - HKLM\..\Run: [IMJPMIG8.2] msime80.exe
O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe
O4 - HKCU\..\Run: [MsServer] msfir80.exe
O20 - Winlogon Notify: crypt - crypts.dll (file missing)
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\services.exe');
TerminateProcessByName('c:\documents and settings\localservice\application data\1012341539.exe');
QuarantineFile('C:\System Volume Information\_restore{A689B8E8-C51C-48E0-A1DC-F59BFDC465DD}\RP480\A0028248.dll','');
QuarantineFile('msfir80.exe','');
QuarantineFile('crypts.dll','');
QuarantineFile('c:\windows\services.exe','');
QuarantineFile('c:\documents and settings\localservice\application data\1012341539.exe','');
DeleteFile('c:\documents and settings\localservice\application data\1012341539.exe');
DeleteFile('c:\windows\services.exe');
DeleteFile('crypts.dll');
DeleteFile('msfir80.exe');
DeleteFile('C:\System Volume Information\_restore{A689B8E8-C51C-48E0-A1DC-F59BFDC465DD}\RP480\A0028248.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Карантин закачал.
Вот новые логи.
На данный момент видимых проявлений вирусу не замечено.
[QUOTE]
1012341539.exe_ - not-a-virus:FraudTool.Win32.MalwareDoctor.c
Это - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.
A0028248.dll - Trojan-Downloader.Win32.Injecter.cqg,
services.exe_ - Email-Worm.Win32.Joleee.ne
Эти файлы определяются антивирусом. [/QUOTE] :)
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
[/CODE]
- Установите IE 8
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]14[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\localservice\application data\1012341539.exe - [B]not-a-virus:FraudTool.Win32.MalwareDoctor.c[/B] ( DrWEB: Trojan.Fakealert.4220, BitDefender: BehavesLike:Trojan.RegistryDisabler )[*] c:\system volume information\_restore{a689b8e8-c51c-48e0-a1dc-f59bfdc465dd}\rp480\a0028248.dll - [B]Trojan-Downloader.Win32.Injecter.cqg[/B] ( DrWEB: Trojan.Botnetlog.3, BitDefender: Trojan.Dropper.SYI )[*] c:\windows\services.exe - [B]Email-Worm.Win32.Joleee.ne[/B] ( DrWEB: Trojan.Spambot.3531 )[/LIST][/LIST]