Вирус вернулся через несколько часов [Trojan.Win32.Jorik.IRCbot.wdk, HEUR:Trojan.Win32.Generic
]
http://virusinfo.info/showthread.php...535#post974535
как говорится-хорошего по немножку)
после лечения, в течении часов эдак 5 заметил в диспетчере всё тот же mspaint.exe, yndrive32, и какой-то ещё екзешник с цифрами, всё так же грузили процессор
всё так же мспейнт после отключения вновь появляется
не может ли быть моя ошибка в том что я удалил папку с avz\rsit\hijackthis и карантином, после лечения?
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) T1ara, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Нет.не может ли быть моя ошибка в том что я удалил папку с avz\rsit\hijackthis и карантином, после лечения?
> Выполните скрипт в AVZ:
После выполнения скрипта компьютер будет перезагружен.Код:begin ClearQuarantine; if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; QuarantineFile('C:\WINDOWS\yndrive32.exe',''); QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\hostsn.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-917678\nepro0xz.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-91768\nedpro0xz.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-46689\24naq.exe',''); QuarantineFile('C:\Documents and Settings\Rami\Application Data\Microsoft\Qauauq.exe',''); QuarantineFile('C:\Documents and Settings\Rami\Application Data\24D.exe',''); DeleteFile('C:\Documents and Settings\Rami\Application Data\24D.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSSMARTMON1'); DeleteFile('C:\Documents and Settings\Rami\Application Data\Microsoft\Qauauq.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Qauauq'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-46689\24naq.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','t4q'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-91768\nedpro0xz.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-917678\nepro0xz.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','nepro0xz'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','nepdro0xz'); DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\hostsn.exe'); DeleteFile('C:\WINDOWS\yndrive32.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup'); ExecuteWizard('TSW',2,2,true); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); RebootWindows(true); end.
> Используйте ссылку "Прислать запрошенный карантин", которая находится над первым сообщением этой темы, чтобы прислать quarantine.zip.
> Повторите действия, указанные в правилах и подготовьте новые отчеты AVZ и hijackthis.
+ http://virusinfo.info/showthread.php?t=115256
_________________
> как выполнить скрипт в AVZ
Воть
> Выполните скрипт в AVZ:
После выполнения скрипта компьютер будет перезагружен.Код:begin ClearQuarantine; if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; QuarantineFile('C:\Documents and Settings\Rami\Application Data\251.exe','detected by rsit'); QuarantineFile('C:\Documents and Settings\Rami\Application Data\250.exe','detected by rsit'); QuarantineFile('C:\Documents and Settings\Rami\Application Data\24F.exe','detected by rsit'); QuarantineFile('C:\Documents and Settings\Rami\Application Data\24E.exe','detected by rsit'); DeleteFile('C:\Documents and Settings\Rami\Application Data\251.exe'); DeleteFile('C:\Documents and Settings\Rami\Application Data\250.exe'); DeleteFile('C:\Documents and Settings\Rami\Application Data\24F.exe'); DeleteFile('C:\Documents and Settings\Rami\Application Data\24E.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); RebootWindows(true); end.
> Используйте ссылку "Прислать запрошенный карантин", которая находится над первым сообщением этой темы, чтобы прислать quarantine.zip.
> Повторите отчет RSIT.
_________________
> как выполнить скрипт в AVZ
Сделано)
Чисто. Проблема устранена?
время покажет)
надо будет антивирь поставить
- - - Добавлено - - -
время покажет)
надо будет антивирь поставить
Отличное решениеСообщение от T1ara
Я даже больше скажу: и обновить все программы и саму ОС. Иначе будем встречаться здесь часто.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\rami\\application data\\microsoft\\qauauq.exe - Backdoor.Win32.Ruskill.qxb ( BitDefender: Trojan.Generic.KDZ.8549, AVAST4: Win32:Downloader-SOC [Trj] )
- c:\\documents and settings\\rami\\application data\\24d.exe - Trojan.Win32.Jorik.Tedroo.cjy ( DrWEB: BackDoor.BlackEnergy.24, BitDefender: Trojan.Generic.KD.827479, NOD32: Win32/SpamTool.Tedroo.AQ trojan, AVAST4: Win32:Jorik-SI [Trj] )
- c:\\documents and settings\\rami\\application data\\24e.exe - Trojan.Win32.Jorik.IRCbot.wdk ( DrWEB: Win32.HLLW.Phorpiex.54, BitDefender: Trojan.Generic.KDZ.3011, AVAST4: Win32:Malware-gen )
- c:\\documents and settings\\rami\\application data\\24f.exe - HEUR:Trojan.Win32.Generic ( DrWEB: Win32.HLLW.Autoruner1.33124, BitDefender: Gen:Win32.ExplorerHijack.amW@aeK05dj, AVAST4: Win32:Malware-gen )
- c:\\documents and settings\\rami\\application data\\250.exe - Trojan.Win32.Jorik.IRCbot.wdk ( DrWEB: Win32.HLLW.Phorpiex.54, BitDefender: Trojan.Generic.KDZ.3011, AVAST4: Win32:Malware-gen )
- c:\\documents and settings\\rami\\application data\\251.exe - HEUR:Trojan.Win32.Generic ( BitDefender: Trojan.Generic.KD.864864, AVAST4: Win32:Kryptik-LDN [Trj] )
- c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\hostsn.exe - Backdoor.Win32.Azbreg.qni ( DrWEB: BackDoor.IRC.NgrBot.42, BitDefender: Trojan.Generic.KDV.864000, AVAST4: Win32:Downloader-SOC [Trj] )
- c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-46689\\24naq.exe - Trojan.Win32.Jorik.IRCbot.wdk ( DrWEB: Win32.HLLW.Phorpiex.54, BitDefender: Trojan.Generic.KDZ.3011, AVAST4: Win32:Malware-gen )
- c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-917678\\nepro0xz.exe - Trojan.Win32.Jorik.IRCbot.wdk ( DrWEB: Win32.HLLW.Phorpiex.54, BitDefender: Trojan.Generic.KDZ.3011, AVAST4: Win32:Malware-gen )
- c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-91768\\nedpro0xz.exe - HEUR:Trojan.Win32.Generic ( DrWEB: Win32.HLLW.Autoruner1.33124, BitDefender: Gen:Win32.ExplorerHijack.amW@aeK05dj, AVAST4: Win32:Malware-gen )
- c:\\windows\\yndrive32.exe - HEUR:Trojan.Win32.Generic ( BitDefender: Trojan.Generic.KD.864864, AVAST4: Win32:Kryptik-LDN [Trj] )
Уважаемый(ая) T1ara, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
