-
Junior Member
- Вес репутации
- 53
Nod 4.0 ругался на Injector других
В логах ESET NOD 4.0 значатся:
C:\Documents and Settings\SmiTT\Local Settings\Temporary Internet Files\Content.IE5\WPMRWLMR\vs8[1].exe Win32/Delf.OXF
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\TO2GZ66Z\ocgfyh[1].jpg модифицированный Win32/Conficker.AE червь
C:\DOCUME~1\SmiTT\LOCALS~1\Temp\247.exe модифицированный Win32/Injector.AMY троянская программа
Что то тухловато он их удаляет, выкладываю логи согласно правилам (AVZ ничего не нашел, соотв-но логов не создано в архиве)
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
(AVZ ничего не нашел, соотв-но логов не создано в архиве)
Ищите в папке LOG архивы virusinfo_syscure.zip,virusinfo_syscheck.zip. Если найдете, прикрепите их.
-
-
Junior Member
- Вес репутации
- 53
Нашел, прикрепил. К сожалению после проверки в безопасном режиме снова ESET выругался на
PHP код:
C:\WINDOWS\system32\x модифицированный Win32/Conficker.AE червь очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: C:\WINDOWS\system32\svchost.exe.
-
Выполните скрипт в avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-4415819264-5807241795-683044747-2195\wmfcgr.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-4415819264-5807241795-683044747-2195\wmfcgr.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
-
-
Junior Member
- Вес репутации
- 53
Файл сохранён как 100103_215957_virus_4b40e92d71bf3.zip
Размер файла 421
MD5 db95c8af72a05aa695b85cdef0b7608f
Но забыл отключить nod, возможно он почистил файл карантина. При архивировании было написано "Очищен удалением\изолирован"
Я отключил nod и переархивировал, но не известно сохранился ли вирус.
Если чтото не так - скажите с какого шага повторить.
Спасибо.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-4415819264-5807241795-683044747-2195\wmfcgr.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-4415819264-5807241795-683044747-2195\wmfcgr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Файл сохранён как 100103_225039_virus_4b40f50f94ca1.zip
Размер файла 1053
MD5 efedabce660e484d9840df5bc97371a8
Новые логи:
-
Junior Member
- Вес репутации
- 53
Тем временем NOD выругался на:
C:\windows\jjdrive32.exe IRC/SdBot троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло при попытке доступа к файлу следующим приложением: D:\Soft\Outpost\acs.exe.
Напомню что система установлена сегодня
-
Отключите антивирус/сетевой экран
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\RECYCLER\S-1-5-21-8688596346-7302128588-610287602-2565\wmfcgr.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-8688596346-7302128588-610287602-2565\wmfcgr.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
quarantine.zip закачайте по ссылке прислать запрошенный карантин вверху темы.
Сделайте новые логи
-
-
Junior Member
- Вес репутации
- 53
Файл сохранён как 100103_230708_quarantine_4b40f8ec1aa62.zip
Размер файла 84968
MD5 ce22eb9a45647ff1ed9eb3aead011f17
ESET NOD 4.0 жалуется на все новые инфицированные файлы:
PHP код:
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe модифицированный Win32/Injector.AMY троянская программа очищен удалением - изолирован SMITT-682E9B308\SmiTT
PHP код:
C:\WINDOWS\system32\umdmgr.exe модифицированный Win32/Injector.AKN троянская программа очищен удалением - изолирован SMITT-682E9B308\SmiTT
Новые логи:
-
Junior Member
- Вес репутации
- 53
-
Установите SP3(может потребоваться активация)+все последующие обновления.
Сделайте новые логи.
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
snifer67
Установите SP3(может потребоваться активация)+все последующие обновления.
Сделайте новые логи.
Установил SP3.
После перезагрузки NOD выругался на:
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe модифицированный Win32/Injector.AMY троянская программа очищен удалением - изолирован
C:\WINDOWS\system32\wshost32.exe модифицированный Win32/Injector.AKN троянская программа очищен удалением - изолирован
Новые логи:
Последний раз редактировалось SmiTT; 04.01.2010 в 12:16.
-
Junior Member
- Вес репутации
- 53
Также найден:
04.01.2010 12
33 Защита в режиме реального времени файл C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\TO2GZ66Z\xlwypp[1].bmp Win32/Conficker.AA червь очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\WINDOWS\system32\svchost.exe.
-
Выполните скрипт в avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\RECYCLER\S-1-5-21-9814573246-3664664051-937316094-6214\wmfcgr.exe');
DeleteFileMask('C:\RECYCLER\S-1-5-21-9814573246-3664664051-937316094-6214', '*.*', true);
DeleteFileMask('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
Сделайте новые логи(когда делаете логи антивирус надо отключать).
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
snifer67
Выполните скрипт в avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\RECYCLER\S-1-5-21-9814573246-3664664051-937316094-6214\wmfcgr.exe');
DeleteFileMask('C:\RECYCLER\S-1-5-21-9814573246-3664664051-937316094-6214', '*.*', true);
DeleteFileMask('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
Сделайте новые логи(когда делаете логи антивирус надо отключать).
Выполнил, до этого в безопасном режиме проверял при помощи CureIt. Найдены были трояны.
Логи:
-
Чисто
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить
Установите IE8
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
snifer67
Чисто
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить
В безопасном режиме?
-
-
-
Junior Member
- Вес репутации
- 53
Сделано, благодарю за помощь. Надеюсь все будет в порядке