-
[QUOTE=thyrex;622718]Не совсем
Остались пробелы
[CODE]c:\program files\asus\splendid\acmon .exe
c:\program files\amicosinglun\amicosinglun .exe
c:\program files\asus\atkosd2\atkosd2 .exe
c:\program files\asus\atk media\dmedia .exe
c:\program files\asus\atk hotkey\hcontroluser .exe
c:\program files\realtek\audio\hda\rthdvcpl .exe[/CODE]
Сделайте новые логи AVZ[/QUOTE]
Не фига себе! Опять появились гады!!!:furious3: Снова их удалил (в том числе acmon.exe и acm.exe, оставшийся со вчерашнего дня). Но когда переименовывал легитимные файлы (удалял пробелы), у них менялась иконка, и становилась такая же, как и на подозрительных 28-кБайтных файлах. Кстати, а можно ли делать ОДНОВРЕМЕННО оба лога AVZ? В смысле - ставить сразу две галочки и тем самым выполнить оба лога в один присест, а не по отдельности?
[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]
Сделал скрипт, комп перезагрузился, файлы опять появились.
-
Вот новые логи, пятые по счёту. Карантин отправил.
-
Такой лог сделайте [url]http://virusinfo.info/showpost.php?p=457118&postcount=1[/url]
Скачайте [URL="http://www2.online-solutions.ru/ru/download_file.php?p=65580"]"OSAM" (Online Solutions Autorun Manager)[/URL].
Лог работы OSAM запакуйте и также прикрепите к своему сообщению
-
Вот логи. Программа mbam предлагала удалить найденные вредоносные файлы, в том числе эти 28-кБайтные, но я ничего удалять не стал.
-
Только вот лог OSAM в предыдущем сообщении - второй по счёту. Сначала я по неопытности сохранил лог OSAM в формате html. На всякий случай высылаю первый лог, я его запаковал в архив zip.
-
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Adobe\157311.old','');
QuarantineFile('C:\Users\Сергей\AppData\Local\Temp\037.exe','');
QuarantineFile('C:\Users\Сергей\AppData\Local\Temp\120.exe','');
QuarantineFile('C:\Users\Сергей\AppData\Local\Temp\248.exe','');
QuarantineFile('C:\Users\Сергей\AppData\Local\Temp\304.exe','');
QuarantineFile('C:\Users\Сергей\AppData\Local\Temp\396.exe','');
QuarantineFile('C:\Users\Сергей\AppData\Local\Temp\4013.exe','');
QuarantineFile('C:\Users\Сергей\AppData\Local\Temp\4042846.exe','');
QuarantineFile('C:\Users\Сергей\AppData\Local\Temp\ctv1059 .exe','');
QuarantineFile('C:\Users\Сергей\AppData\Local\Temp\ctv91 .exe','');
QuarantineFile('C:\Users\Сергей\AppData\Local\Temp\507.exe','');
QuarantineFile('C:\Users\Сергей\AppData\Local\Temp\8106.exe','');
QuarantineFile('C:\Users\Сергей\AppData\Local\Temp\872.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\js.mui','');
QuarantineFile('C:\Users\Сергей\AppData\Local\Temp\wmpscfgs.exe','');
QuarantineFile('C:\Windows\Temp\wmpscfgs.exe','');
QuarantineFile('C:\Program Files\Adobe\acrotray .exe','');
DeleteFile('C:\Users\Сергей\AppData\Local\Temp\507.exe');
DeleteFile('C:\Program Files\Adobe\157311.old');
DeleteFile('C:\Users\Сергей\AppData\Local\Temp\037.exe');
DeleteFile('C:\Users\Сергей\AppData\Local\Temp\120.exe');
DeleteFile('C:\Users\Сергей\AppData\Local\Temp\248.exe');
DeleteFile('C:\Users\Сергей\AppData\Local\Temp\304.exe');
DeleteFile('C:\Users\Сергей\AppData\Local\Temp\396.exe');
DeleteFile('C:\Users\Сергей\AppData\Local\Temp\4013.exe');
DeleteFile('C:\Users\Сергей\AppData\Local\Temp\4042846.exe');
DeleteFile('C:\Users\Сергей\AppData\Local\Temp\ctv1059 .exe');
DeleteFile('C:\Users\Сергей\AppData\Local\Temp\ctv91 .exe');
DeleteFile('C:\Users\Сергей\AppData\Local\Temp\8106.exe');
DeleteFile('C:\Users\Сергей\AppData\Local\Temp\872.exe');
DeleteFile('C:\Program Files\Internet Explorer\js.mui');
DeleteFile('C:\Users\Сергей\AppData\Local\Temp\wmpscfgs.exe');
DeleteFile('C:\Windows\Temp\wmpscfgs.exe');
DeleteFile('C:\Program Files\Adobe\acrotray .exe');
DeleteFile('c:\program files\internet explorer\wmpscfgs.exe');
DeleteFileMask('C:\Windows\Tasks', 'At*.job', true);
DeleteFile('C:\Program Files\ASUS\Splendid\ACMON.exe');
DeleteFile('C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe');
DeleteFile('C:\Program Files\AmIcoSingLun\AmIcoSinglun.exe');
DeleteFile('C:\Windows\AsScrProlog.exe');
DeleteFile('C:\Program Files\ASUS\ATK Media\DMedia.exe');
DeleteFile('C:\Program Files\ASUS\ATKOSD2\ATKOSD2.exe');
DeleteFile('C:\Program Files\ClamWin\bin\ClamTray.exe');
DeleteFile('C:\Program Files\ASUS\ATK Hotkey\HControlUser.exe');
DeleteFile('C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe');
end. [/code]
Теперь всем легитимным файлам (тем, что размещены отдельной группой), подмененным вирусом, верните их нормальные имена. Перезагрузитесь
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новый лог МВАМ
-
Уф, дождался!!! Карантин выслал.
[size="1"][color="#666686"][B][I]Добавлено через 27 минут[/I][/B][/color][/size]
Скрипт выполнил. Легитимные файлы переименовал. (забыл вовремя переименовать C:\Program Files\ASUS\Splendid\ACMON.exe и C:\Windows\AsScrProlog.exe) Перезагрузился. Вирусные файлы НЕ появились. Отправил карантин. Переименовал с запоздпнием файлы ACMON.exe и C:\Windows\AsScrProlog.exe. После переименования у 6 файлов из 9-ти поменялись иконки и стали такие же, как у вирусов. Не поменялись иконки у двух файлов:
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Windows\AsScrProlog.exe
И одного файла я недосчитался: C:\Program Files\ClamWin\bin\ClamTray.exe. Исчез куда-то. В корзине его нет, только 28-кБайтный вирус. Лог MBAM - в процессе.
-
Вот новый лог MBAM. Опять-таки удалять ничего не стал. Судя по всему все найденные вредоносные файлы - из карантина AWZ.
-
Да, можете смело удалять
Подмененные файлы присутствуют? Удаляйте их и нормальные переименовывайте.
[B]C:\Windows\system32\drivers\pciide.sys[/B] поищите и, если найдется, запакуйте с паролем virus и пришлите по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
-
Удалил всё найденное MBAM. После чего MBAM сгенерировал отчёт и комп перезагрузился. Вирусных "подставных" файлов нигде нет, а легитимные - есть, причём с нормальными названиями и иконками!:D. Файл C:\Windows\system32\drivers\pciide.sys есть. В архив запаковал. С паролем virus. (Пароль без точки разумеется.) Архив отправил как карантин.
-
-
Всё? Комп вылечен? Можно удалять утилиты и включать восстановление системы?
-
Похоже вылечен. Включайте. Если утилиты Вам мешают, удаляйте
-
[B]thyrex[/B], спасибо за помощь!:D
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]5[/B][*]Обработано файлов: [B]77[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files\adobe\acrotray .exe - [B]Trojan-Clicker.Win32.Cycler.pdx[/B][*] c:\program files\adobe\157311.old - [B]Trojan.Win32.FraudPack.apul[/B] ( DrWEB: Trojan.Siggen.59885, BitDefender: Trojan.Generic.3602489, AVAST4: Win32:Malware-gen )[*] c:\program files\daemon tools lite\daemon .exe - [B]Trojan-Clicker.Win32.Cycler.ozk[/B] ( DrWEB: Win32.HLLC.Asdas.4, BitDefender: Trojan.Agent.APHU, AVAST4: Win32:Spambot-EL [Trj] )[*] c:\program files\daemon tools lite\daemon .exe - [B]Trojan-Clicker.Win32.Cycler.ozk[/B] ( DrWEB: Win32.HLLC.Asdas.4, BitDefender: Trojan.Agent.APHU, AVAST4: Win32:Spambot-EL [Trj] )[*] c:\program files\daemon tools lite\daemon .exe - [B]Trojan-Clicker.Win32.Cycler.ozk[/B] ( DrWEB: Win32.HLLC.Asdas.4, BitDefender: Trojan.Agent.APHU, AVAST4: Win32:Spambot-EL [Trj] )[*] c:\program files\daemon tools lite\daemon .exe - [B]Trojan-Clicker.Win32.Cycler.ozk[/B] ( DrWEB: Win32.HLLC.Asdas.4, BitDefender: Trojan.Agent.APHU, AVAST4: Win32:Spambot-EL [Trj] )[*] c:\program files\daemon tools lite\daemon .exe - [B]Trojan-Clicker.Win32.Cycler.ozk[/B] ( DrWEB: Win32.HLLC.Asdas.4, BitDefender: Trojan.Agent.APHU, AVAST4: Win32:Spambot-EL [Trj] )[*] c:\program files\daemon tools lite\daemon .exe - [B]Trojan-Clicker.Win32.Cycler.ozk[/B] ( DrWEB: Win32.HLLC.Asdas.4, BitDefender: Trojan.Agent.APHU, AVAST4: Win32:Spambot-EL [Trj] )[*] c:\program files\elantech\etdctrl.exe - [B]Trojan-Clicker.Win32.Cycler.ozk[/B] ( DrWEB: Win32.HLLC.Asdas.4, BitDefender: Trojan.Agent.APHU, AVAST4: Win32:Spambot-EL [Trj] )[*] c:\program files\internet explorer\js.mui - [B]Trojan-Clicker.Win32.Cycler.ozk[/B] ( DrWEB: Win32.HLLC.Asdas.4, BitDefender: Trojan.Agent.APHU, AVAST4: Win32:Spambot-EL [Trj] )[*] c:\program files\internet explorer\wmpscfgs.exe - [B]Trojan-Clicker.Win32.Cycler.ozk[/B] ( DrWEB: Win32.HLLC.Asdas.4, BitDefender: Trojan.Agent.APHU, AVAST4: Win32:Spambot-EL [Trj] )[*] c:\users\сергей\appdata\local\temp\ctv1059 .exe - [B]Packed.Win32.Krap.ao[/B] ( DrWEB: Win32.HLLC.Asdas.3, BitDefender: Trojan.Generic.3604514, AVAST4: Win32:Crypt-GBZ [Drp] )[*] c:\users\сергей\appdata\local\temp\ctv91 .exe - [B]Packed.Win32.Krap.ao[/B] ( DrWEB: Win32.HLLC.Asdas.3, BitDefender: Trojan.Generic.3604514, AVAST4: Win32:Crypt-GBZ [Drp] )[*] c:\users\сергей\appdata\local\temp\wmpscfgs.exe - [B]Trojan-Clicker.Win32.Cycler.ozk[/B] ( DrWEB: Win32.HLLC.Asdas.4, BitDefender: Trojan.Agent.APHU, AVAST4: Win32:Spambot-EL [Trj] )[*] c:\users\сергей\appdata\local\temp\037.exe - [B]Trojan.Win32.VB.adwx[/B] ( DrWEB: BackDoor.IRC.Bot.267, BitDefender: IRC-Worm.Generic.10514, AVAST4: Win32:Malware-gen )[*] c:\users\сергей\appdata\local\temp\120.exe - [B]Trojan.Win32.VB.adwx[/B] ( DrWEB: BackDoor.IRC.Bot.267, BitDefender: IRC-Worm.Generic.10514, AVAST4: Win32:Malware-gen )[*] c:\users\сергей\appdata\local\temp\248.exe - [B]Trojan.Win32.VB.adwx[/B] ( DrWEB: BackDoor.IRC.Bot.267, BitDefender: IRC-Worm.Generic.10514, AVAST4: Win32:Malware-gen )[*] c:\users\сергей\appdata\local\temp\304.exe - [B]P2P-Worm.Win32.Palevo.aatt[/B] ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Gen:Heur.Krypt.24, AVAST4: Win32:MalOb-AI [Cryp] )[*] c:\users\сергей\appdata\local\temp\396.exe - [B]Trojan.Win32.VB.adwx[/B] ( DrWEB: BackDoor.IRC.Bot.267, BitDefender: IRC-Worm.Generic.10514, AVAST4: Win32:Malware-gen )[*] c:\users\сергей\appdata\local\temp\4013.exe - [B]Trojan.Win32.Inject.aonq[/B] ( DrWEB: BackDoor.Siggen.14741, BitDefender: Trojan.Generic.3639932, AVAST4: Win32:Crypt-GCF [Trj] )[*] c:\users\сергей\appdata\local\temp\4042846.exe - [B]Trojan.Win32.Inject.aonq[/B] ( DrWEB: BackDoor.Siggen.14741, BitDefender: Trojan.Generic.3639932, AVAST4: Win32:Crypt-GCF [Trj] )[*] c:\users\сергей\appdata\local\temp\507.exe - [B]Trojan.Win32.VB.adwx[/B] ( DrWEB: BackDoor.IRC.Bot.267, BitDefender: IRC-Worm.Generic.10514, AVAST4: Win32:Malware-gen )[*] c:\users\сергей\appdata\local\temp\8106.exe - [B]Trojan.Win32.Inject.aonq[/B] ( DrWEB: BackDoor.Siggen.14741, BitDefender: Trojan.Generic.3639932, AVAST4: Win32:Crypt-GCF [Trj] )[*] c:\users\сергей\appdata\local\temp\872.exe - [B]Trojan.Win32.VB.adwx[/B] ( DrWEB: BackDoor.IRC.Bot.267, BitDefender: IRC-Worm.Generic.10514, AVAST4: Win32:Malware-gen )[*] c:\users\сергей\appdata\roaming\gkewzr.exe - [B]Trojan.Win32.VB.adwx[/B] ( DrWEB: BackDoor.IRC.Bot.267, BitDefender: IRC-Worm.Generic.10514, AVAST4: Win32:Malware-gen )[*] c:\users\сергей\appdata\roaming\microsoft\fouwuty.exe - [B]Trojan-Dropper.Win32.Vidro.bm[/B] ( DrWEB: Trojan.WinSpy.711, AVAST4: Win32:Crypt-GCF [Trj] )[*] c:\users\сергей\appdata\roaming\microsoft\woogedoukez.exe - [B]Trojan-Dropper.Win32.Vidro.bm[/B] ( DrWEB: Trojan.WinSpy.711, AVAST4: Win32:Crypt-GCF [Trj] )[*] c:\users\сергей\csrss.exe - [B]P2P-Worm.Win32.Palevo.aays[/B] ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Gen:Variant.Rimecud.1, AVAST4: Win32:Malware-gen )[*] c:\windows\temp\wmpscfgs.exe - [B]Trojan-Clicker.Win32.Cycler.ozk[/B] ( DrWEB: Win32.HLLC.Asdas.4, BitDefender: Trojan.Agent.APHU, AVAST4: Win32:Spambot-EL [Trj] )[/LIST][/LIST]
Page generated in 0.01374 seconds with 10 queries