-
Junior Member
- Вес репутации
- 52
Сильное заражение системы Pogram.Server.260, Trojan.SMSSend.275, Trojan.SMSSend.310, Trojan.Winlock.2741
На ноутбуке HP под управлением Windows 7 x64 начала наблюдаться такая закономерность: система висла после подключения компьютера к интернету. Я первым же делом решил проверить на вирусы сначала установленным в системе Нодом 4(антивирусные базы последние) часть "зверей" отловил Нод. Но проблема повторялась. Решил проверить утилитой от доктора Вэба. Он тоже выловил 4 вида троянцев и еще две разновидности вируса. Вот перечень: Pogram.Server.260, Trojan.SMSSend.275, Trojan.SMSSend.310, Trojan.Winlock.2741, Exploit.java.174, Trojan.Carberp.30. При чем как Pogram.Server.260 эта утилита определила файл с названием из набора букв wieyzhb.exe, но удалить или лечить не предложила. Этот файл располагается во всех временных каталогах системы. В описании этого вируса на сайте доктора Вэба указано что это почтовая программа.
Вот теперь собственно просьба. Возможно я конечно и удалил все вирусы из системы, но может все таки что то осталось, а быть может в ключах реестра остались записи при помощи которых в систему могут проникнуть трояны и прочая нечисть. Помогите разобраться. Логи прилагаю.
hijackthis.log
virusinfo_syscheck.zip
Файл wieyzhb.exe из системы не удалял. За ранее спасибо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) vladlen, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\B215~1\AppData\Local\Temp\0.7908360777519927.exe','');
TerminateProcessByName('c:\users\Светлана\appdata\local\temp\wieyzhb.exe');
QuarantineFile('c:\users\Светлана\appdata\local\temp\wieyzhb.exe','');
DeleteFile('c:\users\Светлана\appdata\local\temp\wieyzhb.exe');
DeleteFile('C:\Users\B215~1\AppData\Local\Temp\0.7908360777519927.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','AdobeFlash');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(16);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Спасибо за помощь
в папке карантина нет архива есть только папка имя сегодняшняя дата с двумя файлами avz00001.dta и просто avz00001. Логи после выполнения скрипта:
virusinfo_syscheck.zip
hijackthis.log
-
Сообщение от
vladlen
avz00001.dta и просто avz00001
Ну так эти файлы и нужны для карантина
Плохого в логах не увидел. Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
то есть эти два файла заархивировать и поставить пароль по правилу. Имя архива произвольное?
да вроде бы нормально. правда локальная сеть то появляется то пропадает какое то время ну а через время все нормально
-
Читайте внимательно, что написано в Приложении 2 правил
Пароль будет установлен автоматически
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\\users\\светлана\\appdata\\local\\temp\\wieyzhb .exe - Trojan-Spy.Win32.Carberp.kpe ( DrWEB: Program.Server.260, BitDefender: Gen:Variant.Graftor.25623, AVAST4: Win32:Malware-gen )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-