NOD после перезагрузки системы постоянно удаляет KBDMAI.dll Win32/TrojanDownloader.Stantinko.J [Trojan.Win32.Agentb.bcix
]
Здравствуйте!
В последние несколько дней регулярно начал появляться KBDMAI.dll в системе, нод оперативно его чистит, но
после перезагрузки эта гадость снова появляеться.
04.01.2015 13:09:46 Защита в режиме реального времени файл C:\Windows\SysWOW64\KBDMAI.dll Win32/TrojanDownloader.Stantinko.J троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\Windows\SysWOW64\svchost.exe.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) aradesh, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
1) - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
2)
Сообщение от aradesh
C:\Windows\SysWOW64\KBDMAI.dll
Пришлите в карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
2) - выполните такой скрипт в AVZ
Код:
begin
ClearQuarantineEx(true);
QuarantineFile('C:\Windows\System32\KBDMAI.dll','');
QuarantineFile('C:\Windows\SysWOW64\KBDMAI.dll','');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы.
1. Прикрепил.
2. Выполнил, но карантин получился пустой, так как при перезагрузке, после выполнения пункта 1, smart security автоматически этот файл удалил, о чем свидетельствует запись в журнале
04.01.2015 19:18:25 Защита в режиме реального времени файл C:\Windows\SysWOW64\KBDMAI.dll
Win32/TrojanDownloader.Stantinko.J троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\Windows\SysWOW64\svchost.exe.
поэтому перед выполнением скриптов созданием логов антивирус надо отключать .
При выполнение процедуры VirusDetector отключали?
Отключал, тут просто проблема в другом - при загрузке системы антивирус автоматически сразу удаляет эти файлы, и уже на момент обработки скрипта в AVZ - их уже нет до следующей перезагрузки Так что тут только перманентное отключение защиты может помочь, но не уверен что у Smart Security такая возможность есть.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Выполните скрипт в AVZ при наличии доступа в интернет:
Код:
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: