-
Junior Member
- Вес репутации
- 55
Фишинг "antivirus antispyware 2011 tld" и другие
Здравствуйте, уважаемые форумчане!
Дня два назад неожиданно проинстллировалась программа "antivirus antispyware 2011 tld" и вовсю принялась "искать и находить вирусы". Понимая, что это нежелательное ПО, попытался её удалить, но она начала просить код для деинсталляции, который можно получить лишь послав запрос "разработчикам".
Провёл поиск вирусов Dr.Web.CureIT, который нашёл несколько Троянов.Даунлоадеров. Также я нашёл более двух десятков сомнительных ехе-файлов, по всей видимости загруженных троянами, в папке C:\Documents and Settings\"Пользователь"\Local Settings\Temp\ и удалил их вручную.
Сейчас не работает сеть, а также постоянно выдает ошибку при загрузке системы при попытке запустить csrss.exe файл из той же C:\Documents and Settings\"Пользователь"\Local Settings\Temp\
Приаттачил логи. Буду очень признателен за вашу помощь!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте.
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\DENOZA~1\LOCALS~1\Temp\csrss.exe','');
DeleteFile('C:\DOCUME~1\DENOZA~1\LOCALS~1\Temp\csrss.exe');
BC_ImportAll;
AutoFixSPI;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
После перезагрузки выполните скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
Повторите лог virusinfo_syscheck.zip и лог HijackThis и приложите в теме.
-
-
Junior Member
- Вес репутации
- 55
Огромное спасибо за столь быстрый ответ!!!
Скрипты выполнил. Все необходимые файлы прикрепил.
Ещё раз премного благодарен!!!
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Denozavrik\Application Data\AntiVirus AntiSpyware 2011\AntiVirus AntiSpyware.exe','');
QuarantineFile('C:\Documents and Settings\Denozavrik\Application Data\Adobe\plugs\mmc.exe','');
DeleteFile('C:\Documents and Settings\Denozavrik\Application Data\Adobe\plugs\mmc.exe');
DeleteFile('C:\Documents and Settings\Denozavrik\Application Data\AntiVirus AntiSpyware 2011\AntiVirus An-tiSpyware.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','mmc');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Благодарствую Вас, thyrex!
Всё выполнил. Отчёты прикрепил, карантин выслал.
-
Удалите в МВАМ только указанные строки
Код:
Заражённые ключи в реестре:
HKEY_CURRENT_USER\Software\AntiVirus AntiSpyware 2011 (Rogue.AntiVirusAntiSpyware2011) -> No action taken.
Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
Заражённые папки:
c:\documents and settings\denozavrik\главное меню\программы\antivirus antispyware 2011 (Rogue.AntiVirusAntiSpyware2011) -> No action taken.
Заражённые файлы:
c:\WINDOWS\Web\svhost.exe (Malware.Gen) -> No action taken.
c:\documents and settings\denozavrik\главное меню\программы\antivirus antispyware 2011.lnk (Rogue.AntiVirusAntiSpyware2011) -> No action taken.
c:\documents and settings\denozavrik\главное меню\программы\antivirus antispyware 2011\help antivirus antispyware 2011.lnk (Rogue.AntiVirusAntiSpyware2011) -> No action taken.
c:\documents and settings\denozavrik\главное меню\программы\antivirus antispyware 2011\activate antivirus antispyware 2011.lnk (Rogue.AntiVirusAntiSpyware2011) -> No action taken.
c:\documents and settings\denozavrik\главное меню\программы\antivirus antispyware 2011\antivirus antispyware 2011.lnk (Rogue.AntiVirusAntiSpyware2011) -> No action taken.
c:\documents and settings\denozavrik\главное меню\программы\antivirus antispyware 2011\how to activate antivirus antispyware 2011.lnk (Rogue.AntiVirusAntiSpyware2011) -> No action taken.
c:\documents and settings\denozavrik\application data\microsoft\internet explorer\quick launch\antivirus antispyware 2011.lnk (Rogue.AntiVirusAntiSpyware2011) -> No action taken.
c:\documents and settings\denozavrik\application data\Adobe\adobeutil .exe (Trojan.Agent.Gen) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Спасибо! Удалил. Прикрепил на всякий случай новые логи.
Сеть пока не работает, что как-то странно, ведь МВАМ обновлял базы через и-нет.
-
ProxyServer = http=127.0.0.1:52505 - сами прописывали?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Огромное спасибо, наверное давно когда прописывал, хотя не помню, но в настройках Моззилы нашёл пропись этого прокси вручную. Сменил на авто и сеть заработала. До заражения всё работало, хотя с таким прокси не должно было.
Добавлено через 8 минут
Это точно вирус прописал! Сегодня обнаружились проблемы с другой машиной, в частности не мог зайти на почтовики, а также на некоторые сайты, при поиске в гугл информации о запущенных процессах (а также на сайт Др.Веба, что сразу же указало на наличие паразитов). Сейчас проверил настройки прокси и также обнаружил там открытым этот порт.
Последний раз редактировалось Denozaur; 17.04.2011 в 00:08.
Причина: Добавлено
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 6
- В ходе лечения вредоносные программы в карантинах не обнаружены
-