-
Junior Member
- Вес репутации
- 65
kps: IceSword - ошибка при разархивировании.
Рекомендации:
"Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом был таки защищен AVG75 со всеми updates, но он умер без вести и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:
Перезагрузить компьютер в безопасном режиме (в самом начале загрузки нажать и удерживать клавишу «F8», затем выбрать пункт Safe Mode в меню загрузки Windows).
вместо безопасного режима - синий экран смерти
При помощи «Диспетчера задач» завершить троянский процесс (возможное имя процесса — «hidr.exe»).
в нормальном режиме не убивается этот просецц, а в safe mode меня не пускают
Удалить файлы:
%System%\drivers\srosa.sys
%System%\drivers\hidr.exe
'эти файлы удаляются только при загрузке с CD, но при нормальной загрузке появляются снова
Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Удалить параметр из ключа системного реестра:
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"drvsyskit" = "%System%\drivers\hidr.exe"
Удалить ключ реестра:
[HKCU\Software\FirstRRRun]
Удалить следующую папку со всем ее содержимым:
%WinDir%\exefqd
regedit показывает, что нет такой буквы, но утилита XoftSpySE (единственная фигня, которую мне удалось запустить) обнаруживает:
Bagle IX Worm Registry Key software\firstrun
Downloader Bagle GI Trojan Registry Key software\microsoft\windows\currentversion\run\germ an.exe
За лечение просят 69$
Но тот же regedit не видит этих ключей.
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
скачал, не запускается
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Скачайте CureIt! (ссылка в правилах) на чистой машине. Распакуйте cureit.exe - это обычный SFX-архив. Запишите на болванку. С болванки запустите _start.exe.
-
-
Junior Member
- Вес репутации
- 65
kps: спасибо, завтра, как найду чистую машину - попробую.
А в сети творится фашизм
C:\Documents and Settings\anton>netstat -bv
Активные подключения
Имя Локальный адрес Внешний адрес Состояние PID
TCP 1c757cf6a461442:1890 mx-filter-2.online.net:smtp SYN_SENT 37
0
C:\WINDOWS\System32\mswsock.dll
C:\WINDOWS\system32\WS2_32.dll
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\kernel32.dll
[wintems.exe]
TCP 1c757cf6a461442:1905 anon.lcs.mit.edu:smtp SYN_SENT 3760
C:\WINDOWS\System32\mswsock.dll
C:\WINDOWS\system32\WS2_32.dll
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\kernel32.dll
[wintems.exe]
TCP 1c757cf6a461442:1906 211.154.45.116:smtp SYN_SENT 3760
C:\WINDOWS\System32\mswsock.dll
C:\WINDOWS\system32\WS2_32.dll
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\kernel32.dll
[wintems.exe]
TCP 1c757cf6a461442:1275 mercas02.na.sas.com:smtp ESTABLISHED 3760
C:\WINDOWS\System32\mswsock.dll
C:\WINDOWS\system32\WS2_32.dll
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\kernel32.dll
[wintems.exe]
TCP 1c757cf6a461442:1355 gbo248a.gillette.com:smtp ESTABLISHED 3760
C:\WINDOWS\System32\mswsock.dll
C:\WINDOWS\system32\WS2_32.dll
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\kernel32.dll
[wintems.exe]
TCP 1c757cf6a461442:1363 mail.bhmgolf.com:smtp ESTABLISHED 3760
C:\WINDOWS\System32\mswsock.dll
C:\WINDOWS\system32\WS2_32.dll
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\kernel32.dll
[wintems.exe]
TCP 1c757cf6a461442:1398 po-in-f27.google.com:smtp ESTABLISHED 3760
C:\WINDOWS\System32\mswsock.dll
C:\WINDOWS\system32\WS2_32.dll
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\kernel32.dll
[wintems.exe]
TCP 1c757cf6a461442:1516 mail.e-registernow.com:smtp ESTABLISHED 37
0
C:\WINDOWS\System32\mswsock.dll
C:\WINDOWS\system32\WS2_32.dll
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\kernel32.dll
[wintems.exe]
TCP 1c757cf6a461442:1599 209.82.103.61:smtp ESTABLISHED 3760
C:\WINDOWS\System32\mswsock.dll
C:\WINDOWS\system32\WS2_32.dll
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\kernel32.dll
[wintems.exe]
TCP 1c757cf6a461442:1620 mail5.integral.com:smtp ESTABLISHED 3760
C:\WINDOWS\System32\mswsock.dll
C:\WINDOWS\system32\WS2_32.dll
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\kernel32.dll
[wintems.exe]
TCP 1c757cf6a461442:1648 richmondcc.edu:smtp ESTABLISHED 3760
C:\WINDOWS\System32\mswsock.dll
C:\WINDOWS\system32\WS2_32.dll
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\kernel32.dll
[wintems.exe]
TCP 1c757cf6a461442:1689 mx00.t-online.de:smtp ESTABLISHED 3760
C:\WINDOWS\System32\mswsock.dll
C:\WINDOWS\system32\WS2_32.dll
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\kernel32.dll
[wintems.exe]
TCP 1c757cf6a461442:1753 mx2002.mx2.got.net:smtp ESTABLISHED 3760
C:\WINDOWS\System32\mswsock.dll
C:\WINDOWS\system32\WS2_32.dll
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\kernel32.dll
[wintems.exe]
TCP 1c757cf6a461442:1757 s6a1.psmtp.com:smtp ESTABLISHED 3760
C:\WINDOWS\System32\mswsock.dll
C:\WINDOWS\system32\WS2_32.dll
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\kernel32.dll
[wintems.exe]
TCP 1c757cf6a461442:1762 www.napalink.net:smtp ESTABLISHED 3760
C:\WINDOWS\System32\mswsock.dll
C:\WINDOWS\system32\WS2_32.dll
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\kernel32.dll
[wintems.exe]
TCP 1c757cf6a461442:1775 sagw01.fsi.ne.jp:smtp ESTABLISHED 3760
C:\WINDOWS\System32\mswsock.dll
C:\WINDOWS\system32\WS2_32.dll
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\kernel32.dll
[wintems.exe]
TCP 1c757cf6a461442:1779 mail.kcc.com:smtp ESTABLISHED 3760
C:\WINDOWS\System32\mswsock.dll
C:\WINDOWS\system32\WS2_32.dll
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\kernel32.dll
[wintems.exe]
TCP 1c757cf6a461442:1814 mx236.terra.cl:smtp ESTABLISHED 3760
C:\WINDOWS\System32\mswsock.dll
C:\WINDOWS\system32\WS2_32.dll
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\kernel32.dll
[wintems.exe]
TCP 1c757cf6a461442:1824 mta1-a.rog.level3.mail.vip.re2.yahoo.com:smtp
STABLISHED 3760
C:\WINDOWS\System32\mswsock.dll
C:\WINDOWS\system32\WS2_32.dll
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\kernel32.dll
[wintems.exe]
TCP 1c757cf6a461442:1835 mxlibero2.libero.it:smtp ESTABLISHED 3760
C:\WINDOWS\System32\mswsock.dll
C:\WINDOWS\system32\WS2_32.dll
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\kernel32.dll
[wintems.exe]
TCP 1c757cf6a461442:1863 e2.member.vip.scd.yahoo.com:https ESTABLISHED
3760
C:\WINDOWS\System32\mswsock.dll
C:\WINDOWS\system32\WS2_32.dll
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\kernel32.dll
[wintems.exe]
----output omitted---
