-
Junior Member
- Вес репутации
- 63
Сообщение от
thyrex
Не совсем
Остались пробелы
Код:
c:\program files\asus\splendid\acmon .exe
c:\program files\amicosinglun\amicosinglun .exe
c:\program files\asus\atkosd2\atkosd2 .exe
c:\program files\asus\atk media\dmedia .exe
c:\program files\asus\atk hotkey\hcontroluser .exe
c:\program files\realtek\audio\hda\rthdvcpl .exe
Сделайте новые логи AVZ
Не фига себе! Опять появились гады!!!
Снова их удалил (в том числе acmon.exe и acm.exe, оставшийся со вчерашнего дня). Но когда переименовывал легитимные файлы (удалял пробелы), у них менялась иконка, и становилась такая же, как и на подозрительных 28-кБайтных файлах. Кстати, а можно ли делать ОДНОВРЕМЕННО оба лога AVZ? В смысле - ставить сразу две галочки и тем самым выполнить оба лога в один присест, а не по отдельности?
Добавлено через 7 минут
Сделал скрипт, комп перезагрузился, файлы опять появились.
Последний раз редактировалось Сергей Боршков; 16.04.2010 в 12:22.
Причина: Добавлено
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 63
Вот новые логи, пятые по счёту. Карантин отправил.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 63
Вот логи. Программа mbam предлагала удалить найденные вредоносные файлы, в том числе эти 28-кБайтные, но я ничего удалять не стал.
Последний раз редактировалось Сергей Боршков; 16.04.2010 в 20:48.
-
Junior Member
- Вес репутации
- 63
Только вот лог OSAM в предыдущем сообщении - второй по счёту. Сначала я по неопытности сохранил лог OSAM в формате html. На всякий случай высылаю первый лог, я его запаковал в архив zip.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Adobe\157311.old','');
QuarantineFile('C:\Users\Сергей\AppData\Local\Temp\037.exe','');
QuarantineFile('C:\Users\Сергей\AppData\Local\Temp\120.exe','');
QuarantineFile('C:\Users\Сергей\AppData\Local\Temp\248.exe','');
QuarantineFile('C:\Users\Сергей\AppData\Local\Temp\304.exe','');
QuarantineFile('C:\Users\Сергей\AppData\Local\Temp\396.exe','');
QuarantineFile('C:\Users\Сергей\AppData\Local\Temp\4013.exe','');
QuarantineFile('C:\Users\Сергей\AppData\Local\Temp\4042846.exe','');
QuarantineFile('C:\Users\Сергей\AppData\Local\Temp\ctv1059 .exe','');
QuarantineFile('C:\Users\Сергей\AppData\Local\Temp\ctv91 .exe','');
QuarantineFile('C:\Users\Сергей\AppData\Local\Temp\507.exe','');
QuarantineFile('C:\Users\Сергей\AppData\Local\Temp\8106.exe','');
QuarantineFile('C:\Users\Сергей\AppData\Local\Temp\872.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\js.mui','');
QuarantineFile('C:\Users\Сергей\AppData\Local\Temp\wmpscfgs.exe','');
QuarantineFile('C:\Windows\Temp\wmpscfgs.exe','');
QuarantineFile('C:\Program Files\Adobe\acrotray .exe','');
DeleteFile('C:\Users\Сергей\AppData\Local\Temp\507.exe');
DeleteFile('C:\Program Files\Adobe\157311.old');
DeleteFile('C:\Users\Сергей\AppData\Local\Temp\037.exe');
DeleteFile('C:\Users\Сергей\AppData\Local\Temp\120.exe');
DeleteFile('C:\Users\Сергей\AppData\Local\Temp\248.exe');
DeleteFile('C:\Users\Сергей\AppData\Local\Temp\304.exe');
DeleteFile('C:\Users\Сергей\AppData\Local\Temp\396.exe');
DeleteFile('C:\Users\Сергей\AppData\Local\Temp\4013.exe');
DeleteFile('C:\Users\Сергей\AppData\Local\Temp\4042846.exe');
DeleteFile('C:\Users\Сергей\AppData\Local\Temp\ctv1059 .exe');
DeleteFile('C:\Users\Сергей\AppData\Local\Temp\ctv91 .exe');
DeleteFile('C:\Users\Сергей\AppData\Local\Temp\8106.exe');
DeleteFile('C:\Users\Сергей\AppData\Local\Temp\872.exe');
DeleteFile('C:\Program Files\Internet Explorer\js.mui');
DeleteFile('C:\Users\Сергей\AppData\Local\Temp\wmpscfgs.exe');
DeleteFile('C:\Windows\Temp\wmpscfgs.exe');
DeleteFile('C:\Program Files\Adobe\acrotray .exe');
DeleteFile('c:\program files\internet explorer\wmpscfgs.exe');
DeleteFileMask('C:\Windows\Tasks', 'At*.job', true);
DeleteFile('C:\Program Files\ASUS\Splendid\ACMON.exe');
DeleteFile('C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe');
DeleteFile('C:\Program Files\AmIcoSingLun\AmIcoSinglun.exe');
DeleteFile('C:\Windows\AsScrProlog.exe');
DeleteFile('C:\Program Files\ASUS\ATK Media\DMedia.exe');
DeleteFile('C:\Program Files\ASUS\ATKOSD2\ATKOSD2.exe');
DeleteFile('C:\Program Files\ClamWin\bin\ClamTray.exe');
DeleteFile('C:\Program Files\ASUS\ATK Hotkey\HControlUser.exe');
DeleteFile('C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe');
end.
Теперь всем легитимным файлам (тем, что размещены отдельной группой), подмененным вирусом, верните их нормальные имена. Перезагрузитесь
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новый лог МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 63
Уф, дождался!!! Карантин выслал.
Добавлено через 27 минут
Скрипт выполнил. Легитимные файлы переименовал. (забыл вовремя переименовать C:\Program Files\ASUS\Splendid\ACMON.exe и C:\Windows\AsScrProlog.exe) Перезагрузился. Вирусные файлы НЕ появились. Отправил карантин. Переименовал с запоздпнием файлы ACMON.exe и C:\Windows\AsScrProlog.exe. После переименования у 6 файлов из 9-ти поменялись иконки и стали такие же, как у вирусов. Не поменялись иконки у двух файлов:
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Windows\AsScrProlog.exe
И одного файла я недосчитался: C:\Program Files\ClamWin\bin\ClamTray.exe. Исчез куда-то. В корзине его нет, только 28-кБайтный вирус. Лог MBAM - в процессе.
Последний раз редактировалось Сергей Боршков; 16.04.2010 в 21:52.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 63
Вот новый лог MBAM. Опять-таки удалять ничего не стал. Судя по всему все найденные вредоносные файлы - из карантина AWZ.
-
Да, можете смело удалять
Подмененные файлы присутствуют? Удаляйте их и нормальные переименовывайте.
C:\Windows\system32\drivers\pciide.sys поищите и, если найдется, запакуйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 63
Удалил всё найденное MBAM. После чего MBAM сгенерировал отчёт и комп перезагрузился. Вирусных "подставных" файлов нигде нет, а легитимные - есть, причём с нормальными названиями и иконками!
. Файл C:\Windows\system32\drivers\pciide.sys есть. В архив запаковал. С паролем virus. (Пароль без точки разумеется.) Архив отправил как карантин.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 63
Всё? Комп вылечен? Можно удалять утилиты и включать восстановление системы?
-
Похоже вылечен. Включайте. Если утилиты Вам мешают, удаляйте
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 63
thyrex, спасибо за помощь!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 5
- Обработано файлов: 77
- В ходе лечения обнаружены вредоносные программы:
- c:\program files\adobe\acrotray .exe - Trojan-Clicker.Win32.Cycler.pdx
- c:\program files\adobe\157311.old - Trojan.Win32.FraudPack.apul ( DrWEB: Trojan.Siggen.59885, BitDefender: Trojan.Generic.3602489, AVAST4: Win32:Malware-gen )
- c:\program files\daemon tools lite\daemon .exe - Trojan-Clicker.Win32.Cycler.ozk ( DrWEB: Win32.HLLC.Asdas.4, BitDefender: Trojan.Agent.APHU, AVAST4: Win32:Spambot-EL [Trj] )
- c:\program files\daemon tools lite\daemon .exe - Trojan-Clicker.Win32.Cycler.ozk ( DrWEB: Win32.HLLC.Asdas.4, BitDefender: Trojan.Agent.APHU, AVAST4: Win32:Spambot-EL [Trj] )
- c:\program files\daemon tools lite\daemon .exe - Trojan-Clicker.Win32.Cycler.ozk ( DrWEB: Win32.HLLC.Asdas.4, BitDefender: Trojan.Agent.APHU, AVAST4: Win32:Spambot-EL [Trj] )
- c:\program files\daemon tools lite\daemon .exe - Trojan-Clicker.Win32.Cycler.ozk ( DrWEB: Win32.HLLC.Asdas.4, BitDefender: Trojan.Agent.APHU, AVAST4: Win32:Spambot-EL [Trj] )
- c:\program files\daemon tools lite\daemon .exe - Trojan-Clicker.Win32.Cycler.ozk ( DrWEB: Win32.HLLC.Asdas.4, BitDefender: Trojan.Agent.APHU, AVAST4: Win32:Spambot-EL [Trj] )
- c:\program files\daemon tools lite\daemon .exe - Trojan-Clicker.Win32.Cycler.ozk ( DrWEB: Win32.HLLC.Asdas.4, BitDefender: Trojan.Agent.APHU, AVAST4: Win32:Spambot-EL [Trj] )
- c:\program files\elantech\etdctrl.exe - Trojan-Clicker.Win32.Cycler.ozk ( DrWEB: Win32.HLLC.Asdas.4, BitDefender: Trojan.Agent.APHU, AVAST4: Win32:Spambot-EL [Trj] )
- c:\program files\internet explorer\js.mui - Trojan-Clicker.Win32.Cycler.ozk ( DrWEB: Win32.HLLC.Asdas.4, BitDefender: Trojan.Agent.APHU, AVAST4: Win32:Spambot-EL [Trj] )
- c:\program files\internet explorer\wmpscfgs.exe - Trojan-Clicker.Win32.Cycler.ozk ( DrWEB: Win32.HLLC.Asdas.4, BitDefender: Trojan.Agent.APHU, AVAST4: Win32:Spambot-EL [Trj] )
- c:\users\сергей\appdata\local\temp\ctv1059 .exe - Packed.Win32.Krap.ao ( DrWEB: Win32.HLLC.Asdas.3, BitDefender: Trojan.Generic.3604514, AVAST4: Win32:Crypt-GBZ [Drp] )
- c:\users\сергей\appdata\local\temp\ctv91 .exe - Packed.Win32.Krap.ao ( DrWEB: Win32.HLLC.Asdas.3, BitDefender: Trojan.Generic.3604514, AVAST4: Win32:Crypt-GBZ [Drp] )
- c:\users\сергей\appdata\local\temp\wmpscfgs.exe - Trojan-Clicker.Win32.Cycler.ozk ( DrWEB: Win32.HLLC.Asdas.4, BitDefender: Trojan.Agent.APHU, AVAST4: Win32:Spambot-EL [Trj] )
- c:\users\сергей\appdata\local\temp\037.exe - Trojan.Win32.VB.adwx ( DrWEB: BackDoor.IRC.Bot.267, BitDefender: IRC-Worm.Generic.10514, AVAST4: Win32:Malware-gen )
- c:\users\сергей\appdata\local\temp\120.exe - Trojan.Win32.VB.adwx ( DrWEB: BackDoor.IRC.Bot.267, BitDefender: IRC-Worm.Generic.10514, AVAST4: Win32:Malware-gen )
- c:\users\сергей\appdata\local\temp\248.exe - Trojan.Win32.VB.adwx ( DrWEB: BackDoor.IRC.Bot.267, BitDefender: IRC-Worm.Generic.10514, AVAST4: Win32:Malware-gen )
- c:\users\сергей\appdata\local\temp\304.exe - P2P-Worm.Win32.Palevo.aatt ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Gen:Heur.Krypt.24, AVAST4: Win32:MalOb-AI [Cryp] )
- c:\users\сергей\appdata\local\temp\396.exe - Trojan.Win32.VB.adwx ( DrWEB: BackDoor.IRC.Bot.267, BitDefender: IRC-Worm.Generic.10514, AVAST4: Win32:Malware-gen )
- c:\users\сергей\appdata\local\temp\4013.exe - Trojan.Win32.Inject.aonq ( DrWEB: BackDoor.Siggen.14741, BitDefender: Trojan.Generic.3639932, AVAST4: Win32:Crypt-GCF [Trj] )
- c:\users\сергей\appdata\local\temp\4042846.exe - Trojan.Win32.Inject.aonq ( DrWEB: BackDoor.Siggen.14741, BitDefender: Trojan.Generic.3639932, AVAST4: Win32:Crypt-GCF [Trj] )
- c:\users\сергей\appdata\local\temp\507.exe - Trojan.Win32.VB.adwx ( DrWEB: BackDoor.IRC.Bot.267, BitDefender: IRC-Worm.Generic.10514, AVAST4: Win32:Malware-gen )
- c:\users\сергей\appdata\local\temp\8106.exe - Trojan.Win32.Inject.aonq ( DrWEB: BackDoor.Siggen.14741, BitDefender: Trojan.Generic.3639932, AVAST4: Win32:Crypt-GCF [Trj] )
- c:\users\сергей\appdata\local\temp\872.exe - Trojan.Win32.VB.adwx ( DrWEB: BackDoor.IRC.Bot.267, BitDefender: IRC-Worm.Generic.10514, AVAST4: Win32:Malware-gen )
- c:\users\сергей\appdata\roaming\gkewzr.exe - Trojan.Win32.VB.adwx ( DrWEB: BackDoor.IRC.Bot.267, BitDefender: IRC-Worm.Generic.10514, AVAST4: Win32:Malware-gen )
- c:\users\сергей\appdata\roaming\microsoft\fouwuty. exe - Trojan-Dropper.Win32.Vidro.bm ( DrWEB: Trojan.WinSpy.711, AVAST4: Win32:Crypt-GCF [Trj] )
- c:\users\сергей\appdata\roaming\microsoft\woogedou kez.exe - Trojan-Dropper.Win32.Vidro.bm ( DrWEB: Trojan.WinSpy.711, AVAST4: Win32:Crypt-GCF [Trj] )
- c:\users\сергей\csrss.exe - P2P-Worm.Win32.Palevo.aays ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Gen:Variant.Rimecud.1, AVAST4: Win32:Malware-gen )
- c:\windows\temp\wmpscfgs.exe - Trojan-Clicker.Win32.Cycler.ozk ( DrWEB: Win32.HLLC.Asdas.4, BitDefender: Trojan.Agent.APHU, AVAST4: Win32:Spambot-EL [Trj] )
-
