-
Junior Member
- Вес репутации
- 52
Зависает интернет
В общем через минут 5 пропадает интернет соединение. В диспетчере задач появляется процесс syscache.exe, а в папках: windows, system32 и system32/drivers/etc появляются файлы hosts размером 256кб.
Установлен Nod32 и после установки интернет соединения он выдает придупреждения:
"24.08.2010 13:06:08 Фильтр HTTP файл @http: // 208.53.183.92 / calckcryp.exe@ модифицированный Win32/Injector.CSV троянская программа соединение прервано - изолирован TYCOON-E482EFC9\silver Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\WINDOWS\explorer.exe."
"24.08.2010 13:06:09 Защита в режиме реального времени файл C:\DOCUME~1\silver\LOCALS~1\Temp\623.exe модифицированный Win32/Injector.CSV троянская программа очищен удалением - изолирован TYCOON-E482EFC9\silver Событие произошло в новом файле, созданном следующим приложением: C:\WINDOWS\explorer.exe."
"24.08.2010 13:06:09 Защита в режиме реального времени файл C:\Documents and Settings\silver\Local Settings\Temporary Internet Files\Content.IE5\AC3XSSXC\calckcryp[1].exe модифицированный Win32/Injector.CSV троянская программа очищен удалением - изолирован TYCOON-E482EFC9\silver Событие произошло в новом файле, созданном следующим приложением: C:\WINDOWS\explorer.exe."
Последний раз редактировалось Trooper; 24.08.2010 в 14:14.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Ссылку на файл срочно надо деактивировать!
Добавлено через 4 минуты
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Код:
O4 - HKLM\..\Run: [0239] C:\WINDOWS\system32\syscache.exe
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\system32\syscache.exe');
QuarantineFile('C:\RECYCLER\S-1-5-21-8340210349-4747167842-568684535-5402\syscr.exe','');
QuarantineFile('%SystenRoot%\System32\netevent.dll','');
QuarantineFile('C:\Documents and Settings\silver\Application Data\ltzqai.exe','');
QuarantineFile('c:\windows\system32\syscache.exe','');
DeleteFile('c:\windows\system32\syscache.exe');
DeleteFile('C:\Documents and Settings\silver\Application Data\ltzqai.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-8340210349-4747167842-568684535-5402\syscr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','0239');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteRepair(11);
ClearHostsFile;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Повторите логи
Последний раз редактировалось olejah; 24.08.2010 в 14:15.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 52
карантин выслал
логи повторил
-
-
-
Junior Member
- Вес репутации
- 52
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\syscache.exe - Trojan.Win32.Scar.cqhw ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KD.28441, NOD32: Win32/VB.PFT trojan, AVAST4: Win32:Flot-U [Wrm] )
-