Показано с 1 по 10 из 10.

avast! : Sign of "VBS:Malware-gen" has been found in "C:\WINDOWS\file.bat" file. (заявка № 30590)

  1. #1
    Junior Member Репутация
    Регистрация
    21.09.2008
    Сообщений
    9
    Вес репутации
    35

    avast! : Sign of "VBS:Malware-gen" has been found in "C:\WINDOWS\file.bat" file.

    Уважаемые коллеги,

    Вчера, после посещения одного сайта, avast! после каждой загрузки стал ругаться на файл C:\WINDOWS\file.bat, идентифицируя его как VBS:Malware-gen.

    Причём сам по себе файл с виду ничего страшного из себя не представляет:

    === file.bat ===

    netsh firewall set opmode DISABLE
    del %0

    === file.bat ===

    Но вот его появление после каждой загрузки и ругань на него со стороны аваста настораживают.

    Заранее благодарен за помощь!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('Beep.sys','');
     QuarantineFile('C:\WINDOWS\services.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winbx16.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winct58.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Windt37.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winfv14.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Wingv24.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winji14.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winnu47.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winuj15.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winxa14.sys','');
     DeleteService('Alerter Antivirus');
     DeleteService('avast!TrkWks');
     DeleteService('CiSvcSCardSvr');
     DeleteService('ClipSrvERSvc');
     DeleteService('FastUserSwitchingCompatibility HotKey Poller');
     DeleteService('FontCache3.0.0.0aswUpdSv');
     DeleteService('IAANTMON Antivirus');
     DeleteService('LmHostsSCardSvr');
     DeleteService('LmHostsSCardSvrImapiService');
     DeleteService('MessengerWZCSVC');
     DeleteService('MSDTCWebClient');
     DeleteService('NetmanUPSMSSQLServerADHelper');
     DeleteService('RpcLocatorImapiService');
     DeleteService('RpcLocatorUPS Antivirus');
     DeleteService('RpcLocatorUPS');
     DeleteService('RSVPWZCSVC');
     DeleteService('SharedAccessxmlprov');
     DeleteService('SSDPSRVHTTPFilter');
     DeleteService('UPSMSSQLServerADHelper');
     DeleteService('Winbx16');
     DeleteService('Winct58');
     DeleteService('Windt37');
     DeleteService('Winfv14');
     DeleteService('Wingv24');
     DeleteService('Winji14');
     DeleteService('Winnu47');
     DeleteService('Winry46');
     DeleteService('Winuj15');
     DeleteService('Winxa14');
     DeleteService('WmiNetDDEdsdm');
     DeleteService('WZCSVCseclogon');
     DeleteService('Bonjour Service');
     DelBHO('{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}');
     DelBHO('{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}');
     DeleteFile('c:\program files\bonjour\mdnsresponder.exe');
     DeleteFile('C:\WINDOWS\services.exe');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winbx16.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winct58.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Windt37.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winfv14.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wingv24.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winji14.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winnu47.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winry46.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winuj15.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winxa14.sys');
    BC_ImportAll;
    ExecuteSysClean; 
     BC_DeleteSvc('Alerter Antivirus');
     BC_DeleteSvc('avast!TrkWks');
     BC_DeleteSvc('CiSvcSCardSvr');
     BC_DeleteSvc('ClipSrvERSvc');
     BC_DeleteSvc('FastUserSwitchingCompatibility HotKey Poller');
     BC_DeleteSvc('FontCache3.0.0.0aswUpdSv');
     BC_DeleteSvc('IAANTMON Antivirus');
     BC_DeleteSvc('LmHostsSCardSvr');
     BC_DeleteSvc('LmHostsSCardSvrImapiService');
     BC_DeleteSvc('MessengerWZCSVC');
     BC_DeleteSvc('MSDTCWebClient');
     BC_DeleteSvc('NetmanUPSMSSQLServerADHelper');
     BC_DeleteSvc('RpcLocatorImapiService');
     BC_DeleteSvc('RpcLocatorUPS Antivirus');
     BC_DeleteSvc('RpcLocatorUPS');
     BC_DeleteSvc('RSVPWZCSVC');
     BC_DeleteSvc('SharedAccessxmlprov');
     BC_DeleteSvc('SSDPSRVHTTPFilter');
     BC_DeleteSvc('UPSMSSQLServerADHelper');
     BC_DeleteSvc('Winbx16');
     BC_DeleteSvc('Winct58');
     BC_DeleteSvc('Windt37');
     BC_DeleteSvc('Winfv14');
     BC_DeleteSvc('Wingv24');
     BC_DeleteSvc('Winji14');
     BC_DeleteSvc('Winnu47');
     BC_DeleteSvc('Winry46');
     BC_DeleteSvc('Winuj15');
     BC_DeleteSvc('Winxa14');
     BC_DeleteSvc('WmiNetDDEdsdm');
     BC_DeleteSvc('WZCSVCseclogon');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    Код:
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2 п.4 правил).
    - Прикрепите логи к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    21.09.2008
    Сообщений
    9
    Вес репутации
    35
    Вроде бы, полегчало.

    По поводу карантина не уверен. Мне сейчас нужно что-то из карантина присылать?

    Заранее благодарен.
    Вложения Вложения

  5. #4
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    Пофиксить

    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Forsite\vdacxnc.exe \s
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    ClearQuarantine;
    SetAVZGuardStatus(True);    
     QuarantineFile('C:\WINDOWS\system32\ilkdow.exe','');
     DeleteFile('C:\Documents and Settings\Forsite\vdacxnc.exe');     
    BC_ImportALL;
    ExecuteSysClean;    
    BC_Activate;
    RebootWindows(true);
    end.
    Пришлите карантин...

  6. #5
    Junior Member Репутация
    Регистрация
    21.09.2008
    Сообщений
    9
    Вес репутации
    35
    Спасибо за помощь! Прилагаю новые логи.

    Карантин также закачал.
    Вложения Вложения

  7. #6
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    ilkdow.exe-Trojan-PSW.Win32.Agent.kvz

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".



    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\ilkdow.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Повторите стандартный лог № 2

  8. #7
    Junior Member Репутация
    Регистрация
    21.09.2008
    Сообщений
    9
    Вес репутации
    35
    Ага, есть такое дело. С первого раза почему-то не удалился: вероятно, автоматическое восстановление системы шалит.

    Новый лог прилагаю.
    Вложения Вложения

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    ничего плохого

  10. #9
    Junior Member Репутация
    Регистрация
    21.09.2008
    Сообщений
    9
    Вес репутации
    35
    Супер! Огромное спасибо за помощь!

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\ilkdow.exe - Trojan-PSW.Win32.Agent.kvz (DrWEB: Trojan.Spambot.3561)


  • Уважаемый(ая) forsite, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 7
      Последнее сообщение: 26.04.2012, 15:16
    2. Ответов: 5
      Последнее сообщение: 10.01.2012, 17:59
    3. Что это ? - "itcwlnp File not found: i"
      От Toledo в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 17.04.2010, 18:44
    4. Sign of "JS:Agent-CV [Trj]" has been found
      От sasha1959 в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 24.01.2010, 20:54
    5. Ответов: 1
      Последнее сообщение: 31.10.2009, 05:06

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01340 seconds with 17 queries