при переислении суммы своему товарищу обратил внимание на несоответствие номеров кошельков и вспомнил о вирусе, проверил, все так и есть при копировании возникает другой кошелек...
при переислении суммы своему товарищу обратил внимание на несоответствие номеров кошельков и вспомнил о вирусе, проверил, все так и есть при копировании возникает другой кошелек...
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\svch0d.dll',''); QuarantineFile('C:\Program Files\Windows NT\NTmon.exe',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
Пришлите содержимое карантина согласно приложению 3 правил.
I am not young enough to know everything...
Файл сохранён как 070602_145945_virus_46614da1e9c1f.zip
Размер файла 28128
MD5 3f3e8b0f0497ec8d76419d99cdaa3d00
C:\WINDOWS\system32\svch0d.dll в карантин не попал, поищите его вручную в AVZ, если найдется - пришлите (см. приложение 2 правил).
I am not young enough to know everything...
не находится... проблема осталась...
Выполните такой скрипт:
После перезагрузки пофиксите в HijackThis, если останется:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\svch0d.dll'); BC_DeleteFile('C:\WINDOWS\system32\svch0d.dll'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Проверьте, сохраняется ли после этого проблема.Код:O20 - AppInit_DLLs: C:\WINDOWS\system32\svch0d.dll
По поводу NTmon.exe пока однозначного ответа нет, ждем...
I am not young enough to know everything...
скрипт и указания выполнил, проблема осталась
На всякий случай проверим еще пару файликов.
Выполните скрипт:
После перезагрузки пришлите новый карантин по правилам.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\Downloaded Program Files\WMAcceptor.dll',''); QuarantineFile('appmgmts.dll',''); RebootWindows(true); end.
I am not young enough to know everything...
А вот и ответ пришел насчет NTmon.exe!
Выполните скрипт в AVZ:Hello.
New malicious software was found in the attached file.
Trojan-Spy.Win32.Webmoner.bw
It's detection will be included in the next update. Thank you for your help.
-----------------
Regards, Roman Gavrilchenko
Virus Analyst, Kaspersky Lab.
После перезагрузки сделайте новые логи, начиная с п.10 правил.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\Program Files\Windows NT\NTmon.exe'); BC_DeleteFile('C:\Program Files\Windows NT\NTmon.exe'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
I am not young enough to know everything...
предыдущие логи нужны? которые в вашем сообщении от 16.07 времни?
Нет, оттуда только карантин. Логи после последнего скрипта.
вот
Файл сохранён как 070602_164035_virus_46616543e5b9f.zip
Размер файла 164448
MD5 e5d7e4d02b27df35f9910032f55fe7cb
В карантине только WMAcceptor.dll - он чистый, впрочем и на appmgmts.dll особых подозрений не было.
В логах все нормально, удаление прошло успешно. Проблемы уже быть не должно.
I am not young enough to know everything...
да, Вы правы, проблем больше вроде нет, спасибо большое за помощь
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!
Удачи!
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- c:\\program files\\windows nt\\ntmon.exe - Trojan-Spy.Win32.Webmoner.bw (DrWEB: Trojan.Packed.166)
Уважаемый(ая) fil, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.