Популярный clubrelaxxxx с блоком соц. сетей win XP sp2 x86 (Комп2)
Упс - ошибся в названии темы - Система WinXP sp3 x86
Повторю описание ситуации из предыдущей темы:
- ЦИТАТА -
Подхватил эту заразу (clubrelaxxxx) на 2 компа (Отдельная микролокалка). Топология следуюшая Комп 1 (этот) подключен проводом к Компу 2, который используется как маршрутизатор. Комп 2 получает Интернет по wi-fi и раздает его компу 1 по проводу. Между компом 1 и компом 2 существовала полностью незащищенная сеть (полный доступ, админ без пароля) собственно из-за этого произошло заражение.
- КОНЕЦ ЦИТАТЫ -
Теперь по комп 2: точно также поставлен пароль админу, снята галочка на изменение фаилов по сети, но это после 2-х прогонов касперским. При первом прогоне был найден червь "Trojan-Spy.Win32.Carberp.tky C:\Documents and Settings\Строймаркет 99\Главное меню\Программы\Автозагрузка\EdBGPwvVUSU.exe" - который касперский не смог удалить даже при перезагрузке, пришлось написать скрипт для АВЗ и удалить через него. Теперь сей объект числится только в карантине каспера. Вот собственно всё, проблема остается.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Sthix, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
DeleteFile('C:\DOCUME~1\998EEC~1\LOCALS~1\Temp\4228203FdOh');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','4228265');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(13);
RebootWindows(true);
end.
Фаил похоже не смог удалиться даже в безопасном режиме, вручную не пробовал, диска под рукой не было нормального загрузочного, логи прикладываю, там ахтунг (по МБАМ), уже сам вижу (((. Боюсь если следующий раз не вылечу, буду делать ФорматЦевтику.
- - - Добавлено - - -
В принципе то, что нашел МБАМ - не критичные программы, так, что я все пофиксил лог здесь
Обнаруженные ключи в реестре: 4
HKCR\CLSID\{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} (Adware.MyCentria) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MyCentria (Trojan.Dropper) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (Trojan.Agent.CK) -> Действие не было предпринято.
HKLM\SOFTWARE\MyCentria (Adware.MyCentria) -> Действие не было предпринято.
Обнаруженные папки: 3
C:\Program Files\MyCentria (Adware.MyCentria) -> Действие не было предпринято.
C:\Program Files\MyCentria\Firefox (Adware.MyCentria) -> Действие не было предпринято.
C:\Program Files\MyCentria\InfoBar (Adware.MyCentria) -> Действие не было предпринято.
Обнаруженные файлы: 12
C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: