-
Не видно скрытые файлы, нод кричит об autoran.inf
1. Cure it нашел trojan и adware, вижу своими глазами как он проверяет "левые" файлы в корне загрузочного диска - что-то типа *.cmd и пропускает их
2. Nod32 детектит в корне загрузочного диска , а теперь и в корне моей флэшки файлик autoran.inf, ссылающийся на trojan.onlinegames
3. На зараженной системе не показываются скрытые файлы
4. На здоровой системе (другой комп) скрытые файлы на флэшке видны, я их спокойно удалил
Последний раз редактировалось eifory; 14.10.2008 в 10:07.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Надо это делать все со вставленной флешкой.
Скрипт вот такой получился:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('G:\0gjn3yw.exe','');
QuarantineFile('C:\0gjn3yw.exe','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\SYS\WINNT\system32\amvo1.dll','');
DelBHO('{07B18EA9-A523-4961-B6BB-170DE4475CCA}');
DelBHO('{07B18EA1-A523-4961-B6BB-170DE4475CCA}');
DelBHO('{00A6FAF1-072E-44cf-8957-5838F569A31D}');
QuarantineFile('C:\SYS\WINNT\system32\ckvo.exe','');
QuarantineFile('C:\SYS\WINNT\system32\amvo.exe','');
QuarantineFile('C:\SYS\WINNT\system32\ckvo0.dll','');
QuarantineFile('C:\SYS\WINNT\system32\amvo0.dll','');
DeleteFile('C:\SYS\WINNT\system32\amvo0.dll');
DeleteFile('C:\SYS\WINNT\system32\ckvo0.dll');
DeleteFile('C:\SYS\WINNT\system32\amvo.exe');
DeleteFile('C:\SYS\WINNT\system32\ckvo.exe');
DeleteFile('C:\SYS\WINNT\system32\amvo1.dll');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\0gjn3yw.exe');
DeleteFile('G:\0gjn3yw.exe');
DeleteFile('G:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Затем профиксить:
Код:
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL (file missing)
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL (file missing)
O2 - BHO: (no name) - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - (no file)
O3 - Toolbar: My Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - (no file)
Карантин загрузить по Правилам.
Сделать новые логи.
После этого надо будет отключить "Автозапуск" флешек.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
1.Карантин выслал
2.Запустил с флэшки AVZ - сделал логи
3.Флэшку просмотрел на здоровой системе - снова появился скрытый файл, детектируемый НОДом как trojan.onlinegames
4. Кстати, если важно - компьютер с зараженной системой работает с беспроводной клавиатурой и мышью
Последний раз редактировалось eifory; 14.10.2008 в 10:07.
-
-
выполните скрипт
Код:
begin
QuarantineFile('\SYS\WINNT\system32\ntoskrnl.exe','');
end.
пришлите карантин согласно приложения 3 правил ...
-
-
Этот файлик в карантин не отправляется ( "прямое чтение ... ")
С пом. AVZ выполнил восстановление системы -сброс настроек рабочего стола + сброс polices + восстановление прводника
Появились 1 или 2 "левые" скрытые файлы, их я сразу удалил , проверил еще раз тремя антивирусами, все в порядке . Спасибо
-