При включении компьютера Антивирус Касперского находит email-worm.win32.brontok.oh, но вылечить файл невозможно, удаление тоже ничего не даёт - при повторном включении всё повторяется. Пожалуйста, помогите!
Printable View
При включении компьютера Антивирус Касперского находит email-worm.win32.brontok.oh, но вылечить файл невозможно, удаление тоже ничего не даёт - при повторном включении всё повторяется. Пожалуйста, помогите!
[B]Алексей@[/B], [QUOTE]Внимание !!! База поcледний раз обновлялась [U]8/25/2010 [/U]необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)[/QUOTE]
обновите базы AVZ и сделайте новые логи.
+ отключите востановление системы.
Да, хорошо.
Выполните скрипт в AVZ:
[code]
begin
QuarantineFile('C:\WINDOWS\system32\Tbar.exe','');
QuarantineFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Refresher.exe','');
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=97502[/url]).
Отправил..
В карантине файлы чистые.
Больше ничего подозрительного не вижу.
На что конкретно ругается антивирус?
При включении Антивирус Касперского выдаёт сообщение следующего содержания:
Generic Host Process for Win32 Services пытается получить доступ к вредоносному ПО.
Обнаружен вирус:
Email-Worm.Win32.brontok.oh
Расположение:
C:\Program Files\WindowsNT\Accesories\wordpad
Дальше запрашивает, удалить или нет. (лечение невозможно)
После удаления комп перезагружается, и всё повторяется снова.
Ну, работе системы вирус пока вроде не мешает, но, понятное дело, очень напрягает...
А, и ещё диспетчер задач перестал открываться.
[QUOTE='Алексей@;764750']Расположение:
C:\Program Files\WindowsNT\Accesories\wordpad[/QUOTE]
пришлите этот файл согласно разделу правил [URL="http://virusinfo.info/pravila.html"][B]Приложение 2. Поиск файлов при помощи AVZ.[/B][/URL]
Не получается этот файл добавить в карантин. Сначала идёт добавление файла, и выдаётся сообщение, что оно завершено, но в карантине папка остаётся пустой, а в протоколе AVZ выдаётся сообщение:
Ошибка карантина файла, попытка прямого чтения (wordpad.exe.new)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\wordpad.exe.new)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\wordpad.exe.new)
Карантин с использованием прямого чтения - ошибка
[B]Алексей@[/B], файл так и называется [U]wordpad.exe.[B]new[/B][/U] ?
Сделайте лог [url=http://virusinfo.info/showpost.php?p=457118&postcount=1]полного сканирования МВАМ[/url]
- Проведите процедуру, которая описана в первом сообщении [url=http://virusinfo.info/showthread.php?t=3519]тут[/url]. Результат загрузки напишите в сообщении здесь.
regist,
Да, файл так и называется - wordpad.exe.new
Лог AVZ отправил, вот данные:
[B]Файл сохранён как:[/B] 110208_045728_virusinfo_files_ADMIN-3D3BCBC23_4d50a308c8018.zip
[B]Размер файла:[/B] 41991716
[B]MD5:[/B] 6b8a8790afe5ab5a614d765a6ed590bf
Лог сканирования MBAM прилагаю:
[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/URL] [code]Заражённые ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9D64F819-9380-8473-DAB2-702FCB3D7A3E} (Trojan.Ransom) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9D64F819-9380-8473-DAB2-702FCB3D7A3E} (Trojan.Ransom) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Target Marketing Agency (Adware.TMAagent) -> No action taken.
Заражённые папки:
c:\documents and settings\administrator\application data\winxrar (Trojan.Agent) -> No action taken.
Заражённые файлы:
c:\documents and settings\administrator\application data\winxrar\after.png (Trojan.Agent) -> No action taken.
c:\documents and settings\administrator\application data\winxrar\data (Trojan.Agent) -> No action taken.
c:\documents and settings\administrator\application data\winxrar\dir.png (Trojan.Agent) -> No action taken.
c:\documents and settings\administrator\application data\winxrar\dot.gif (Trojan.Agent) -> No action taken.
c:\documents and settings\administrator\application data\winxrar\htmlayout.dll (Trojan.Agent) -> No action taken.
c:\documents and settings\administrator\application data\winxrar\key (Trojan.Agent) -> No action taken.
c:\documents and settings\administrator\application data\winxrar\logo.png (Trojan.Agent) -> No action taken.
c:\documents and settings\administrator\application data\winxrar\logo2.png (Trojan.Agent) -> No action taken.
c:\documents and settings\administrator\application data\winxrar\myriadwebpro-condensed.ttf (Trojan.Agent) -> No action taken.
c:\documents and settings\administrator\application data\winxrar\rules.css (Trojan.Agent) -> No action taken.
c:\documents and settings\administrator\application data\winxrar\sb-h-scroll-next.png (Trojan.Agent) -> No action taken.
c:\documents and settings\administrator\application data\winxrar\sb-h-scroll-prev.png (Trojan.Agent) -> No action taken.
c:\documents and settings\administrator\application data\winxrar\sb-scroll-back.png (Trojan.Agent) -> No action taken.
c:\documents and settings\administrator\application data\winxrar\sb-scroll-base.png (Trojan.Agent) -> No action taken.
c:\documents and settings\administrator\application data\winxrar\sb-scroll-slider.png (Trojan.Agent) -> No action taken.
c:\documents and settings\administrator\application data\winxrar\sb-v-scroll-next.png (Trojan.Agent) -> No action taken.
c:\documents and settings\administrator\application data\winxrar\sb-v-scroll-prev.png (Trojan.Agent) -> No action taken.
c:\documents and settings\administrator\application data\winxrar\scroll.css (Trojan.Agent) -> No action taken.
c:\documents and settings\administrator\application data\winxrar\sview (Trojan.Agent) -> No action taken.
[/code]
[QUOTE=Алексей@;765120]Не получается этот файл добавить в карантин. Сначала идёт добавление файла, и выдаётся сообщение, что оно завершено, но в карантине папка остаётся пустой, а в протоколе AVZ выдаётся сообщение:
Ошибка карантина файла, попытка прямого чтения (wordpad.exe.new)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\wordpad.exe.new)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\wordpad.exe.new)
Карантин с использованием прямого чтения - ошибка[/QUOTE]
проверьте эти файлы на [url]http://www.virustotal.com/[/url] ссылки на результат проверки напишите здесь.
+ Сделайте новый лог сканирования MBAM.
------------------------
Закройте все программы
Отключите
[url=http://virusinfo.info/showthread.php?t=57441]- Антивирус и Файрвол[/url]
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\wordpad.exe.new','');
QuarantineFile('C:\WINDOWS\system32\wordpad.exe.new','');
BC_ImportALL;
ExecuteWizard('TSW', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
если что-нибудь попадёт в карантин, пришлите карантин согласно [b]Приложения 3[/b] правил по красной ссылке [color=Red][u][b]Прислать запрошенный карантин[/b][/u][/color] вверху темы.
Скрипт в AVZ выполнил, в карантине оказались файлы, поэтому отправил вам его.
На сайт [URL]http://www.virustotal.com/[/URL] конечно отправил запрос, но, думаю, ждать ответа смысла нет - при загрузке файла wordpad.exe.new для отправки указан размер файла - 0 байт. Хотя на диске он занимает около 300 КБ.
Заражённые файлы в MBAM удалил, вот новый лог:
[B]Алексей@[/B], деинсталлируйте все ненужные тулбары, в частности Tbar, AskBar, и т.д.
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -
[code]
begin
ExecuteRepair(2);
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteWizard('TSW', 2, 3, true);
end.
[/code]
удалите в хайджеке (после деинсталяции тулбаров могу и не быть)
[CODE] O2 - BHO: (no name) - {1a894269-562d-459e-b17e-efd8de428e41} - (no file)
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - (no file)
O2 - BHO: (no name) - {88888888-8888-8888-8888-888888888888} - (no file)
O2 - BHO: script helper for ie - {9B5FB65F-631E-4564-ABF2-AD71845B28E0} - (no file)
O2 - BHO: MS Media Module - {9D64F819-9380-8473-DAB2-702FCB3D7A3E} - (no file)
O3 - Toolbar: (no name) - {5BCDC9E9-A980-4B53-B2E8-60CFF484DA61} - (no file)
O3 - Toolbar: (no name) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - (no file)
O3 - Toolbar: (no name) - {1a894269-562d-459e-b17e-efd8de428e41} - (no file)
[/CODE]
удалите в MBAM
[CODE]HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Tbar
c:\WINDOWS\system32\Tbar.exe
c:\program files\vistapack xp\Extras\tbar\Tbar.exe [/CODE]
перезагрузите компьютер
- Сделайте повторные логи по [url=http://virusinfo.info/showthread.php?t=1235]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])
+ новый лог сканирования MBAM
удалите в MBAM
[CODE]HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Tbar
c:\WINDOWS\system32\Tbar.exe
c:\program files\vistapack xp\Extras\tbar\Tbar.exe [/CODE]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]