Найти и скопировать, положить в zip с паролем virus и отправить карантин по правилам.
Найти и скопировать, положить в zip с паролем virus и отправить карантин по правилам.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Я отправила сейчас один архив, но без пароля. У него подозрительно маленький размер. А сейчас попыталась найти вручную, без помощи AVZ и заархивировать. Но, опять же, копируется только один файл - syskrnl3. Надо ли прислать этот архив?
Давайте.Надо ли прислать этот архив?
I am not young enough to know everything...
Присылайте.
Но лучше это делать через AVZ. Там архивируется сразу с паролем.
Если AVZ не добавляет, значит файл найден в базе безопасных.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Отправила
Ух какая зверушка попалася - Trojan-PSW.Win32.LdPinch.bex
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\syskrnl3.exe'); DeleteFile('C:\WINDOWS\system32\ckeacke.dll.bak'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После этого на всякий случай попробуйте еще раз закарантинить
C:\WINDOWS\system32\drivers\mnqvberu.sys
из безопасного режима.
Также почистите временные файлы интернета в IE.
И логи придется еще раз сделать.
I am not young enough to know everything...
А в безопасном режиме делать скрипт или всё равно?
Все равно.
Рада была доставить профессиональную радость!
Но файл по-прежнему не карантинится. Отправляю полученный архив, но там, по-видимому, ничего нового.
и раз пинча подхватили, то желательно сменить пароли,от почты,icq,платёжных систем,т.к его задача как раз воровство паролей
Временные файлы удалила, логи сделала (во время работы AVZ, при запуске 2-го скрипта "Скрипт лечения \ карантина и сбора информации для раздела "помогите!..."" опять вылезали сообщения от NODа - о вирусах).
Вообще-то при выполнении скриптов полагается отключать антивирус...опять вылезали сообщения от NODа - о вирусах
А сообщения случайно были не про ckeacke.dll ??
В HijackThis его строки как будто не пофикшены,
и ckeacke.dll.bak не удалился. Что-то здесь нечисто.
Да еще драйвер этот некарантинящийся! Надо подумать.
Простите бедного музыканта!..
Впредь буду (и до того старалась..) выполнять всё по правилам.
Не могу точно сказать, по поводу каких файлов высказывался антивирус, - только то, что их было 2 разных.
Кстати, у вас не обновлены базы AVZ, это не порядок!
Давайте сделаем так:
1. Пофиксите в HijackThis:
2. Обновите базы AVZ.Код:O2 - BHO: (no name) - {1F4C2C11-DE6E-46D4-BB91-06C6A2392134} - c:\windows\system32\ckeacke.dll (file missing) O20 - Winlogon Notify: hssisasy - ckeacke.dll (file missing)
3. Сделайте логи еще раз.
Может что-то и выяснится, тогда уже будем принимать решение.
Эти двое - O2 - BHO: (no name) - {1F4C2C11-DE6E-46D4-BB91-06C6A2392134} - c:\windows\system32\ckeacke.dll (file missing) и
O20 - Winlogon Notify: hssisasy - ckeacke.dll (file missing) не фиксятся, все остаются на местах.
А логи сделала. С обновленным AVZ.
У меня папочка образовалась - с названием Infected. Архив прислать?
Если это в папке AVZ, то не надо.У меня папочка образовалась - с названием Infected. Архив прислать?
Все-таки этот загадочный драйвер надо удалять. Других зацепок просто нет.
Но все же сделаем последнюю попытку его закарантинить.
Выполните такой скрипт:
После перезагрузки второй:Код:begin ClearQuarantine; BC_QrSvc('bsgskays'); BC_Activate; RebootWindows(true); end.
Если что-то попадет в карантин - пришлите.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\ckeacke.dll.bak'); DeleteFile('C:\WINDOWS\system32\ckeacke.dll'); BC_ImportDeletedList; BC_DeleteSvc('bsgskays'); BC_DeleteFile('C:\WINDOWS\system32\drivers\mnqvberu.sys'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Снова попробуйте пофиксить те две строчки.
И опять новые логи (ничего не поделаешь, надо значит надо
I am not young enough to know everything...
Строчки по-прежнему не фиксятся. Новые логи сделала, карантин тоже. AVZ написал, что вредоносных программ нет.
Карантин пуст. На будущее: если в нем только ini-файлы, то высылать не надо.
@Bratez http://www.sophos.com/security/analy...ojdelfeqt.html -
вот такое описалово нашлось. Файлик основной, правда по-другому зовется, но очень похоже на наш случай.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Учту все пожелания, спасибо!
То есть, на данный момент с вирусами покончено?
Уважаемый(ая) Darria, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
