Printable View
Выполните скрипт в AVZ
[code]begin
DeleteFile('c:\windows\system32\EXPAPth.exe');
DeleteFile('c:\windows\system32\IyrC6Li.exe');
DeleteFile('c:\windows\system32\MM6F7Yo.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Сделайте новый лог ComboFix
[QUOTE=thyrex;630486]Сделайте новый лог ComboFix[/QUOTE]
Новый лог прикладываю......
Но как мне кажется - я борюсь с ветряными мельницами. После каждой перезагрузки появляются файлы в паке System32 с "левыми" именами.
Каксперский так и не работает - запускаю проверку, которая заканчивается через пару секунд с отчетом что все ОК. :(
[QUOTE='Natatula;630624']После каждой перезагрузки появляются файлы в паке System32 с "левыми" именами.[/QUOTE]Примеры таких файлов приведите
[QUOTE=thyrex;630627]Примеры таких файлов приведите[/QUOTE]
вот последние которые удалял скрипт
EXPAPth.exe;
IyrC6Li.exe;
MM6F7Yo.exe;
до этого были другие со столь же осмысленными именами.
Выполните скрипт
[CODE]begin
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\Drivers\sptd.sys','');
end.[/CODE]
Пришлите карантин по правилам.
[url="http://virusinfo.info/showthread.php?t=15927]Пролечитесь с LiveCD[/url] от возможных файловых вирусов.
[QUOTE=Rene-gad;630661]
Пришлите карантин по правилам.
[URL="http://%22http://virusinfo.info/showthread.php?t=15927"]Пролечитесь с LiveCD[/URL] от возможных файловых вирусов.[/QUOTE]
Карантин загружен:
Файл сохранён как100501_190402_virus_4bdc42e2be3cb.zip
Размер файла626890
MD51680a4e22e5758ec9bd04a28ba2c9d27
Файл чистый. С помощью LiveCD проверились?
[QUOTE=thyrex;630767]Файл чистый. С помощью LiveCD проверились?[/QUOTE]
Скачала образ. Нарезала на другой машине. Сейчас проверяется ноут (уже часа два пилит......)
....................
LiveCD в графическом режиме не заработал. Запустился с консоли с установками по умолчанию. Нашел 6 инфицированных файлов. Пять из них в папке карантина AVZ и один в System32 - это файл mscun7er-.dll
Отправляю этот файл
Файл сохранён как 100501_232121_virus_4bdc7f31154c0.zip
Размер файла 54706
MD5 06e65bf59ad96ea8ae9cb8960f3bbcec
Скачала еще один LiveCD [Vba32 Rescue]
Проверила систему с помощью него.
Файл отчета прикрепляю.
Проблема решена?
Выполните на всякий случай
Выполните скрипт в AVZ
[code]begin
DeleteFile('C:\WINDOWS\system32\mscun7er-.#ll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Сделайте новые логи
[QUOTE=thyrex;631062]Выполните на всякий случай
Сделайте новые логи[/QUOTE]
скрипт выполнен.
Возможно вирусов и нет, но следы остались. Касперский так и не работает. Запускается но поиск вирусов не производит.
новые логи прикладываю
А что с логами от LiveCD [Vba32 Rescue]? Он же тоже чего-то по находил.
Логи сделайте обычным AVZ.
"Левый" сайт не грузится? Касперского пробовали переустанавливать?
В логах VBA скорее всего ложное срабатывание
[QUOTE=thyrex;631094]Логи сделайте обычным AVZ.
"Левый" сайт не грузится? Касперского пробовали переустанавливать?
В логах VBA скорее всего ложное срабатывание[/QUOTE]
логи прикладываю.
Переустановка Касперского помогла. Проверка заработала. К "левым" сайтам обращений вроде нет.
[QUOTE='Natatula;630778']и один в System32 - это файл mscun7er-.dll
Отправляю этот файл [/QUOTE]
Этот файл VBA удалил?
[QUOTE=Гриша;631127]Этот файл VBA удалил?[/QUOTE]
Нет не VBA.
LiveCD от доктора ВЭба его переименовал. Файл я отправила с карантина сюда.
Затем мне прислали скрипт для AVZ - удаление этого файла. См. вчерашний пост от [B]thyrex[/B]
А в чем вопрос-то?
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]6[/B][*]Обработано файлов: [B]15[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\bc45edd0.exe - [B]Trojan.Win32.Agent2.cqyd[/B] ( DrWEB: Trojan.Packed.20032, BitDefender: Gen:Variant.FakeAlert.4, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\windows\system32\expapth.exe - [B]Trojan-Dropper.Win32.Shiz.cm[/B] ( DrWEB: Trojan.Packed.20032, BitDefender: Gen:Variant.FakeAlert.4, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\iyrc6li.exe - [B]Trojan-Dropper.Win32.Shiz.cn[/B] ( DrWEB: Trojan.Packed.20032, BitDefender: Gen:Variant.Malob.1 )[*] c:\windows\system32\mm6f7yo.exe - [B]Trojan-Dropper.Win32.Shiz.bw[/B] ( DrWEB: Trojan.Packed.20032, BitDefender: Gen:Variant.Malob.1, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\mscun7er-.dll - [B]Trojan-Spy.Win32.KeyLogger.eoq[/B] ( DrWEB: Trojan.Keylog.129, BitDefender: Trojan.Generic.3512695, AVAST4: Win32:KeyLogger-AGW [Trj] )[*] c:\windows\system32\mscun7er-.#ll - [B]Trojan-Spy.Win32.KeyLogger.eoq[/B] ( DrWEB: Trojan.Keylog.129, BitDefender: Trojan.Generic.3512695, AVAST4: Win32:KeyLogger-AGW [Trj] )[*] c:\windows\system32\14784fbc.exe - [B]Trojan.Win32.Agent2.cqyd[/B] ( DrWEB: Trojan.Packed.20032, BitDefender: Gen:Variant.FakeAlert.4, AVAST4: Win32:Rootkit-gen [Rtk] )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]