Здраствуйте
В системных папках создаются или принимаются через интернет неизвестные .exe файлы типа: 05.exe, 68.exe и т.д и т.п. антивирус касперского опознает их как PDM.Trojan.generic и UDSDangerousObject.Multi.Generic помещает на карантин.
Printable View
Здраствуйте
В системных папках создаются или принимаются через интернет неизвестные .exe файлы типа: 05.exe, 68.exe и т.д и т.п. антивирус касперского опознает их как PDM.Trojan.generic и UDSDangerousObject.Multi.Generic помещает на карантин.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\winsys2.exe','');
DeleteFile('c:\windows\system32\winsys2.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=53070"]MBAM[/URL]
Пожалуйста, карантин выслал
сегодня касперский выдал сообщение что "explorer" пытается загрузить: :http:208.53.183.46/thecalc.data
а до этого появился очередной exe файлы под именем 16.exe и tc.exe
tc.exe определил сразу как: HEUR:Backdoor.Win32.Generic, HEUR:Worm.Win32.Generic, HEUR:Trojan.Win32.Generic
Установите надежные пароли на учетные записи пользователей с правами администратора.
Выполните в AVZ скрипт из файла [url=http://dataforce.ru/~kad/ScanVuln.txt]ScanVuln.txt[/url] и приложите к этой теме файл avz_log.txt из под-папки [b]log[/b].
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедится, что уязвимости устранены.
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
[code]begin
SetAVZGuardStatus(True);
ExecuteRepair(16);
QuarantineFile('C:\RECYCLER\S-1-5-21-7450441782-7647984740-798217791-4112\syscr.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-7450441782-7647984740-798217791-4112\syscr.exe');
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку [color=red][b]Прислать запрошенный карантин[/b][/color], вверху этой темы.
Обновите базы AVZ.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
уязвимости указанные в файле avz_log.txt устранил
карантин не могу отправить так как он не создается, пришлось убрать из скрипта перезагрузку чтобы выяснить почему.
[микропрограмма лечения]> изменен параметр shell ключа HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Ошибка карантина файла, попытка прямого чтения (C:\RECYCLER\S-1-5-21-7450441782-7647984740-798217791-4112\syscr.exe)
Карантин с использованием прямого чтения - ошибка.
еще вопрос по поводу лога "mbam" нужно ли удалять то что он нашел как зараженное?
в файле "avz_log.txt" те уязвимости которые были исправлены.
Странно, что mbam видит:[quote]HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (explorer.exe,C:\RECYCLER\S-1-5-21-7450441782-7647984740-798217791-4112\syscr.exe)[/quote]А hijackthis не замечает. Можете посмотреть что в том ключе реестра на самом деле?
Вот выкладываю в виде скрина.
По моему выглядит не очень доброжелательно
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
[code]begin
SetAVZGuardStatus(True);
RegKeyParamDel('HKCU','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Shell');
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Что с проблемами?
после выполнения скрипта ничего не изменилось
так же не могу создать карантин выдает туже самую ошибку
и все так же обращается к вредоносному интернет адресу указанному выше.
Что это за дрянь такая хитрожопая? :)
Как только первый раз появилась решил переустановить систему но с быстрым форматированием.
если переустановить с полным форматированием спасет?
или не стоит так быстро сдаваться?
что посоветуете?
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
какие вы не сговорчивые, ну да понимаю много работы.
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
[code]begin
SetAVZGuardStatus(True);
ExecuteWizard('TSW', 2, 2, true);
QuarantineFile('C:\RECYCLER\S-1-5-21-7451293880-9676226070-711537270-8963\syscr.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-7451293880-9676226070-711537270-8963\syscr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку [color=red][b]Прислать запрошенный карантин[/b][/color], вверху этой темы.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
карантин выслал
Не видно ничего подозрительного. Проблема решена?
Очистите карантин AVZ. Выполните процедуру, описанную в первом сообщении: [url]http://virusinfo.info/showthread.php?t=3519[/url]
да теперь все спокойно, большое спасибо.
карантин почистил, процедуру выполнил
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\recycler\s-1-5-21-7451293880-9676226070-711537270-8963\syscr.exe - [B]Packed.Win32.Krap.hf[/B] ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Agent.Delf.RMU, AVAST4: Win32:Malware-gen )[/LIST][/LIST]