-
Выполните скрипт в AVZ
Код:
begin
DeleteFile('c:\windows\system32\EXPAPth.exe');
DeleteFile('c:\windows\system32\IyrC6Li.exe');
DeleteFile('c:\windows\system32\MM6F7Yo.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новый лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 57

Сообщение от
thyrex
Сделайте новый лог ComboFix
Новый лог прикладываю......
Но как мне кажется - я борюсь с ветряными мельницами. После каждой перезагрузки появляются файлы в паке System32 с "левыми" именами.
Каксперский так и не работает - запускаю проверку, которая заканчивается через пару секунд с отчетом что все ОК.
-

Сообщение от
Natatula
После каждой перезагрузки появляются файлы в паке System32 с "левыми" именами.
Примеры таких файлов приведите
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57

Сообщение от
thyrex
Примеры таких файлов приведите
вот последние которые удалял скрипт
EXPAPth.exe;
IyrC6Li.exe;
MM6F7Yo.exe;
до этого были другие со столь же осмысленными именами.
-
Выполните скрипт
Код:
begin
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\Drivers\sptd.sys','');
end.
Пришлите карантин по правилам.
Пролечитесь с LiveCD от возможных файловых вирусов.
-
-
Junior Member
- Вес репутации
- 57

Сообщение от
Rene-gad
Карантин загружен:
Файл сохранён как100501_190402_virus_4bdc42e2be3cb.zip
Размер файла626890
MD51680a4e22e5758ec9bd04a28ba2c9d27
-
Файл чистый. С помощью LiveCD проверились?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57

Сообщение от
thyrex
Файл чистый. С помощью LiveCD проверились?
Скачала образ. Нарезала на другой машине. Сейчас проверяется ноут (уже часа два пилит......)
....................
LiveCD в графическом режиме не заработал. Запустился с консоли с установками по умолчанию. Нашел 6 инфицированных файлов. Пять из них в папке карантина AVZ и один в System32 - это файл mscun7er-.dll
Отправляю этот файл
Файл сохранён как 100501_232121_virus_4bdc7f31154c0.zip
Размер файла 54706
MD5 06e65bf59ad96ea8ae9cb8960f3bbcec
Последний раз редактировалось Natatula; 01.05.2010 в 23:22.
-
Junior Member
- Вес репутации
- 57
Скачала еще один LiveCD [Vba32 Rescue]
Проверила систему с помощью него.
Файл отчета прикрепляю.
-
-
-
Выполните на всякий случай
Выполните скрипт в AVZ
Код:
begin
DeleteFile('C:\WINDOWS\system32\mscun7er-.#ll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи
Последний раз редактировалось thyrex; 02.05.2010 в 19:34.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57

Сообщение от
thyrex
Выполните на всякий случай
Сделайте новые логи
скрипт выполнен.
Возможно вирусов и нет, но следы остались. Касперский так и не работает. Запускается но поиск вирусов не производит.
новые логи прикладываю
А что с логами от LiveCD [Vba32 Rescue]? Он же тоже чего-то по находил.
-
Логи сделайте обычным AVZ.
"Левый" сайт не грузится? Касперского пробовали переустанавливать?
В логах VBA скорее всего ложное срабатывание
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57

Сообщение от
thyrex
Логи сделайте обычным AVZ.
"Левый" сайт не грузится? Касперского пробовали переустанавливать?
В логах VBA скорее всего ложное срабатывание
логи прикладываю.
Переустановка Касперского помогла. Проверка заработала. К "левым" сайтам обращений вроде нет.
-

Сообщение от
Natatula
и один в System32 - это файл mscun7er-.dll
Отправляю этот файл
Этот файл VBA удалил?
-
-
Junior Member
- Вес репутации
- 57

Сообщение от
Гриша
Этот файл VBA удалил?
Нет не VBA.
LiveCD от доктора ВЭба его переименовал. Файл я отправила с карантина сюда.
Затем мне прислали скрипт для AVZ - удаление этого файла. См. вчерашний пост от thyrex
А в чем вопрос-то?
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 6
- Обработано файлов: 15
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\bc45edd0.exe - Trojan.Win32.Agent2.cqyd ( DrWEB: Trojan.Packed.20032, BitDefender: Gen:Variant.FakeAlert.4, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\expapth.exe - Trojan-Dropper.Win32.Shiz.cm ( DrWEB: Trojan.Packed.20032, BitDefender: Gen:Variant.FakeAlert.4, AVAST4: Win32:Malware-gen )
- c:\windows\system32\iyrc6li.exe - Trojan-Dropper.Win32.Shiz.cn ( DrWEB: Trojan.Packed.20032, BitDefender: Gen:Variant.Malob.1 )
- c:\windows\system32\mm6f7yo.exe - Trojan-Dropper.Win32.Shiz.bw ( DrWEB: Trojan.Packed.20032, BitDefender: Gen:Variant.Malob.1, AVAST4: Win32:Malware-gen )
- c:\windows\system32\mscun7er-.dll - Trojan-Spy.Win32.KeyLogger.eoq ( DrWEB: Trojan.Keylog.129, BitDefender: Trojan.Generic.3512695, AVAST4: Win32:KeyLogger-AGW [Trj] )
- c:\windows\system32\mscun7er-.#ll - Trojan-Spy.Win32.KeyLogger.eoq ( DrWEB: Trojan.Keylog.129, BitDefender: Trojan.Generic.3512695, AVAST4: Win32:KeyLogger-AGW [Trj] )
- c:\windows\system32\14784fbc.exe - Trojan.Win32.Agent2.cqyd ( DrWEB: Trojan.Packed.20032, BitDefender: Gen:Variant.FakeAlert.4, AVAST4: Win32:Rootkit-gen [Rtk] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-