Junior Member
Вес репутации
58
Остатки вируса типа: "у вас обнаружен, зайдите скачайте..."
Добрый день!
Был обнаружен вирус типа iSecure что-то там, который предлагал установить свои файлы, заявляя, что у меня обнаружены вирусы. После прочтения похожей проблемы на этом форуме тут, папку удалось удалить, но есть ощущения, что зараза еще осталась где-то.
Файлы прилагаю, спасибо за любые советы!
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{f2f2a4cb-daad-4d0c-bdfc-e945647202c2}');
QuarantineFile('c:\autoex.dll','');
DelBHO('{b5af0562-94f3-42bd-f434-2604812c797d}');
DelBHO('{b5ac49a2-94f2-42bd-f434-2604812c897d}');
DelBHO('{984C42AE-0B1D-4495-B16B-935DA5671133}');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\hdxjd4g.dll','');
QuarantineFile('C:\WINDOWS\system32\djki397g.dll','');
QuarantineFile('C:\WINDOWS\TEMP\winlagon.exe','');
BC_DeleteSvc('sywtdxaz');
QuarantineFile('C:\WINDOWS\system32\sywtdxaz.sys','');
BC_DeleteSvc('msupdate');
QuarantineFile('C:\WINDOWS\system32\msinet.exe','');
DeleteFile('C:\WINDOWS\system32\msinet.exe');
DeleteFile('C:\WINDOWS\system32\sywtdxaz.sys');
DeleteFile('C:\WINDOWS\TEMP\winlagon.exe');
DeleteFile('C:\WINDOWS\system32\djki397g.dll');
DeleteFile('C:\WINDOWS\system32\hdxjd4g.dll');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\763444\763444.dll');
DeleteFile('c:\autoex.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
Junior Member
Вес репутации
58
Спасибо!
Скрипт выпонил, карантин выслал, логи высылаю свежие!
Вложения
пофиксите ...
Код:
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://internetsearchservice.com
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://internetsearchservice.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://internetsearchservice.com/ie6.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://internetsearchservice.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://internetsearchservice.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{520F9907-1AF4-4E64-A132-9B9F7DD7BF2C}: NameServer = 85.255.115.157,85.255.112.14
O17 - HKLM\System\CCS\Services\Tcpip\..\{5F1E291A-72F1-41E7-84B8-FEE326F134F8}: NameServer = 85.255.115.157,85.255.112.14
O17 - HKLM\System\CCS\Services\Tcpip\..\{9C675692-9ED6-45DF-8FC3-18707E355E49}: NameServer = 85.255.115.157,85.255.112.14
17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.157 85.255.112.14
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.157 85.255.112.14
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.157 85.255.112.14
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\TEMP\csrssc.exe','');
QuarantineFile('C:\WINDOWS\Resources\KbdRunOnce.dll','');
DeleteFile('C:\WINDOWS\Resources\KbdRunOnce.dll');
DeleteFile('C:\WINDOWS\TEMP\csrssc.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
Junior Member
Вес репутации
58
Вложения
в логах ничего подозрительного ....
какие- то проблемы остались ?
Junior Member
Вес репутации
58
Сообщение от
V_Bond
в логах ничего подозрительного ....
какие- то проблемы остались ?
Похоже, что нет, очень Вам благодарен!!!
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 11 В ходе лечения обнаружены вредоносные программы:
c:\\program files\\ie extensions\\cj.v5.dll - Trojan.Win32.Emgr.ah (DrWEB: Trojan.BhoBot.12) c:\\program files\\isecurity\\v12\\isecurity.cpl - Trojan.Win32.Emgr.af (DrWEB: Trojan.Fakealert.757) c:\\windows\\resources\\kbdrunonce.dll - Trojan.Win32.Agent.rtx (DrWEB: Trojan.Cjf) c:\\windows\\system32\\isecurity.cpl - Trojan.Win32.Emgr.ag (DrWEB: Trojan.Fakealert.756) c:\\windows\\system32\\msinet.exe - Trojan.Win32.Inject.czh (DrWEB: Trojan.Rubanok)