-
Зараженный WinXP
Здравствуйте.
Заражен winXP. Компьютер рабочий, очень нужен для составления бух. отчета.
На данный момент выполнены:
1. Полная проверка в безопасном режиме с помощью AVPTool.
2. AVZ: "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info".
3. AVZ: "Скрипт сбора информации для раздела "Помогите!" virusinfo.info".
4. HijackThis: сканирование системы.
PS:
-установленный антивирус AVAST FREE Antivirus.
-существует только одна учетная запись, поэтому сканирование производилось из под неё.
-
Здравствуйте.
Отключите:
-ПК от интернета
-Все защитные приложения
Подключите:
-Диск F:\
Выполните скрипт в AVZ:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\system32\ctfms.exe');
TerminateProcessByName('c:\windows\csrsm.exe');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\winfixer.exe','');
QuarantineFile('C:\WINDOWS\system32\umdmgr.exe','');
QuarantineFile('C:\WINDOWS\wjdrive32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
QuarantineFile('c:\windows\system32\ctfms.exe','');
QuarantineFile('c:\windows\csrsm.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
DeleteFile('c:\windows\csrsm.exe');
DeleteFile('c:\windows\system32\ctfms.exe');
DeleteFile('C:\WINDOWS\wjdrive32.exe');
DeleteFile('C:\WINDOWS\system32\umdmgr.exe');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\winfixer.exe');
DeleteFile('F:\autorun.inf');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ctfms');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Config Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wors');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Config Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
Компьютер перезагрузится.
Затем выполните ещё один скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "[B][COLOR="Red"][U]Прислать запрошенный карантин[/U][/COLOR][/B]" наверху темы).
Сделайте повторные логи.
А ещё сделайте [URL="http://virusinfo.info/showthread.php?t=53070"]лог MBAM[/URL].
-
Новые логи. mbam еще сканирует.
PS: во время сканирования mbam, аваст тоже реагировал на зараженные фаилы (zpp[1].exe, autorun.inf и assetup.exe), помещая их в карантин.
Скажите пожалуйста, mbam долго сканирует? (дольше чем AVPTool?)
-
[QUOTE='biatob;776498']Скажите пожалуйста, mbam долго сканирует? (дольше чем AVPTool?)[/QUOTE]Дольше. Ждем
-
Во время сканировния МБАМ-ом к компьютеру была подключена еще одна флешка (необходимость).
-
Отчет мбам-а.
Возможно будет полезным:
-время сканирования АВПТул - 13+ часов, время сканирования мбам - пара часов.
-на подключенную флешку ничего плохого (вроде) не добавилось.
-пропала языковая панель (язык не меняется).
-что делать с найдеными мбамом объектами? Все удалить?
-
[QUOTE='biatob;776525']-что делать с найдеными мбамом объектами? Все удалить? [/QUOTE]
Сейчас узнаете.:)
[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в MBAM[/URL] только указанные строки:
[CODE]Заражённые папки:
c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> No action taken.
Заражённые файлы:
c:\asetup.exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\zs\local settings\temporary internet files\content.ie5\usbzdhqa\zpp[1].exe (Trojan.Downloader) -> No action taken.
c:\temp\csm8e3.tmp (Adware.RelevantKnowledge) -> No action taken.
c:\temp\csm9a0.tmp (Adware.RelevantKnowledge) -> No action taken.
f:\recycler\r-1-5-21-1482476501-1644491937-682003330-1013\winfixer.exe (Trojan.Downloader) -> No action taken.
c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811\Desktop.ini (Trojan.Agent) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Worm.AutoRun.Gen) -> No action taken.[/CODE]
Сделайте повторный лог MBAM.
-
После удаления всех найденых мбамом объектов и перезагрузки ПК:
-ошибок после подключения к инету нет.
-языковая панель включилась, раскладка меняется.
-прочих признаков заражения не вижу.
Жду анализа логов.
[size="1"][color="#666686"][B][I]Добавлено через 9 минут[/I][/B][/color][/size]
Хорошо, сейчас сделаю...ой как же я поторопился. ((
Я уже удалил все найденные объекты =( Что делать? Снова делать полное сканировование?
PS: если выложу логи сегодня, проанализируете? или можно спокойно домой идти, а завтра продолжим? (сейчас 19 часов)
-
Что с проблемой?
Установите:
-[URL="http://windows.microsoft.com/ru-RU/internet-explorer/downloads/ie-8"]Internet Explorer 8[/URL]
Откройте файл [URL="http://df.ru/~kad/ScanVuln.txt"]ScanVuln.txt[/URL] и выполните его как скрипт в AVZ. По окончанию проверки в папке AVZ образуется файл avz.log. Откройте его и скачайте программы по ссылкам, которые там указаны. Затем перезагрузите Ваш ПК и выполните скрипт повторно, дабы убедится, что уязвимости устранены.
[QUOTE='biatob;776538']что значит удалить в мбам следующие строки?[/QUOTE]
Нужно запустить полное сканирование MBAM и по окончанию сканирования удалить только те объекты, которые указаны в рамочке.
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]17[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\winfixer.exe - [B]Backdoor.Win32.Floder.at[/B] ( DrWEB: Win32.HLLW.Autoruner.55687, BitDefender: Trojan.Generic.KD.161363, AVAST4: Win32:Downloader-NUE [Trj] )[*] c:\\windows\\csrsm.exe - [B]Backdoor.Win32.Kbot.bap[/B] ( DrWEB: BackDoor.Siggen.28466, BitDefender: Backdoor.Generic.620305, AVAST4: Win32:Malware-gen )[/LIST][/LIST]
Page generated in 0.01608 seconds with 10 queries