-
Базы Касперского обновляете?
Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
ClearQuarantine;
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\ms1236862251.exe','');
QuarantineFile('c:\docume~1\user\locals~1\temp\ms1236862251.exe','');
QuarantineFile('c:\docume~1\user\locals~1\temp\ms1236860663.exe','');
QuarantineFile('c:\windows\temp\656d11e9.exe','');
DeleteFile('c:\windows\temp\656d11e9.exe');
DeleteFile('c:\docume~1\user\locals~1\temp\ms1236860663.exe');
DeleteFile('c:\docume~1\user\locals~1\temp\ms1236862251.exe');
BC_DeleteFile('C:\WINDOWS\System32\drivers\c509b90a.sys');
DeleteFile('C:\WINDOWS\System32\drivers\c509b90a.sys');
DeleteFileMask('c:\docume~1\user\locals~1\temp', '*.exe', false);
DeleteFileMask('c:\windows\temp', '*.exe', false);
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\ms1236862251.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите карантин через ссылку [b][color=red]Прислать запрошенный карантин [/color][/b] вверху темы, как написано в приложении 3 Правил.
Сделайте новый лог HiJackThis, лог AVZ по пункту 2 Диагностики и приложите их к этой теме.
-
Да, касперский обновлялся автоматически. Скрипт выполнил, исходящий трафик по 25 порту прекратился. Вот новый лог.
-
-
Вложений: 1
Прокси сервер в IE вы настраивали?
[quote]ProxyServer = http=127.0.0.1:8600[/quote]
Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
DeleteService('c509b90a');
BC_DeleteSvc('c509b90a');
BC_Activate;
end.
[/code]
Распакуйте приложенный файл и запустите.
-
Прокси не я настраивал, но я вроде как его еще вчера убрал. По крайней мере сейчас его нет. Файл запустил, но в реестр добавилось не все. Щаз попробую в безопасном режиме запустить. Тем не менее каспер переустановил, и он заработал, трафик молчит. Так что вроде все помогло. А что по логам?
[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]
В безопасном режиме то же самое. "Некоторые разделы были заняты системными или другими процессами."
-
В логе были только следы заражения. В остальном нормально.
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]19[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\docume~1\user\locals~1\temp\ms1236783812.exe - [B]Trojan.Win32.Inject.puo[/B]( DrWEB: Trojan.Click.24738, BitDefender: Trojan.Proxy.Agent.BBQ )[*] c:\docume~1\user\locals~1\temp\svchost.exe - [B]Trojan-Downloader.Win32.Small.jju[/B]( DrWEB: Trojan.Click.24738, BitDefender: GenPack:Generic.Malware.Bdld!.4308573D )[*] c:\program files\internet explorer\setupapi.dll - [B]Trojan-PSW.Win32.Agent.mgp[/B]( BitDefender: MemScan:Trojan.PWS.Tupai.A )[*] c:\system volume information\_restore{4943133a-710c-4a7e-a66e-b1e40c890a66}\rp145\a0027492.exe - [B]Trojan.Win32.Small.bvd[/B]( DrWEB: Trojan.DownLoad.26770, BitDefender: Trojan.Generic.1541723 )[*] c:\system volume information\_restore{4943133a-710c-4a7e-a66e-b1e40c890a66}\rp146\a0027571.sys - [B]Trojan-Spy.Win32.Goldun.bvs[/B]( BitDefender: Trojan.Spy.Goldun.NCN )[*] c:\windows\system32\digeste.dll - [B]Trojan.Win32.Pakes.ngz[/B][*] c:\windows\system32\emqsys.dll - [B]Trojan.Win32.Small.bvj[/B]( BitDefender: Gen:Trojan.Heur.P1058A7E7E7 )[*] c:\windows\system32\surrd.sys - [B]Trojan-Spy.Win32.Goldun.bvs[/B]( BitDefender: Trojan.Spy.Goldun.NCN )[*] c:\windows\temp\61e5e083.exe - [B]Trojan.Win32.Small.bvj[/B]( BitDefender: Trojan.Generic.1560436 )[*] \vvv.xxx - [B]Rootkit.Win32.Agent.hxk[/B]( BitDefender: Trojan.Peed.Gen )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]
Page generated in 0.01251 seconds with 10 queries