rmhzb.exe, vasic.exe

Printable View

28.09.2010, 18:18
Lancaster

rmhzb.exe, vasic.exe

По пути C:\Documents and Settings\имя_комп\Application Data появился файл с названием rmhzb.exe - nod32 его не видел до того момента, пока не попробовал вручную удалить с помощью авз-скрипта, но после перезагрузки файл всё равно остался.
Так же на флешках, подключаемых к компьютеру создавалась папка SLOBODAN, внутри файлик vasic.exe, nod32 его обнаруживает но удалить не может. Так же в корне флешек создавался autorun.inf
28.09.2010, 18:58
Nikkollo

[QUOTE=Lancaster;713455]По пути C:\Documents and Settings\имя_комп\Application Data появился файл с названием rmhzb.exe
Так же на флешках, подключаемых к компьютеру создавалась папка SLOBODAN, внутри файлик vasic.exe.
Так же в корне флешек создавался autorun.inf[/QUOTE]
Сделайте карантин этих файлов согласно приложения 2 и 3 правил:
[URL]http://virusinfo.info/pravila.html[/URL]
И загрузите получившийся архив по ссылке вверху этой пемы [B][U][COLOR=#ff0000]Прислать запрошенный карантин[/COLOR][/U][/B]
29.09.2010, 15:57
Lancaster

отправил карантин согласно запросу
29.09.2010, 17:09
olejah

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\Documents and Settings\Trololo\Application Data\rmhzb.exe');
DeleteFile('F:\autorun.inf');
DeleteFile('F:\SLOBODAN\vasic.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=53070"]полного сканирования МВАМ[/URL]
29.09.2010, 17:39
Lancaster

сделано
29.09.2010, 17:41
olejah

[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/URL] -

[CODE]Зараженные папки:
C:\WINDOWS\CIDD_P (Worm.AutoIt) -> No action taken.[/CODE]

- Что с проблемой?
29.09.2010, 19:02
Lancaster

с помощью MBAM папку удалил, файл rmhzb.exe отсутствует
на флешке файлы также отсутствуют
29.09.2010, 19:08
Nikkollo

Обновите Internet Explorer до актуальной версии (даже если не используете).
30.09.2010, 15:43
olejah

Для каждой машины своя тема, так что лечим Вас теперь здесь - [URL="http://virusinfo.info/showthread.php?t=89054"]http://virusinfo.info/showthread.php?t=89054[/URL]
01.10.2010, 15:43
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\trololo\\application data\\rmhzb.exe - [B]P2P-Worm.Win32.Palevo.ayal[/B] ( DrWEB: Trojan.Packed.21005, BitDefender: Gen:Variant.Rimecud.3, AVAST4: Win32:Crumpache [Cryp] )[*] f:\\autorun.inf - [B]Worm.Win32.AutoRun.hja[/B] ( BitDefender: Trojan.Autorun.AVH, AVAST4: INF:AutoRun-CE [Wrm] )[*] f:\\slobodan\\vasic.exe - [B]P2P-Worm.Win32.Palevo.ayal[/B] ( DrWEB: Trojan.Packed.21005, BitDefender: Gen:Variant.Rimecud.3, AVAST4: Win32:Crumpache [Cryp] )[/LIST][/LIST]