Junior Member
Вес репутации
57
avast! : Sign of "VBS:Malware-gen" has been found in "C:\WINDOWS\file.bat" file.
Уважаемые коллеги,
Вчера, после посещения одного сайта, avast! после каждой загрузки стал ругаться на файл C:\WINDOWS\file.bat, идентифицируя его как VBS:Malware-gen .
Причём сам по себе файл с виду ничего страшного из себя не представляет:
=== file.bat ===
netsh firewall set opmode DISABLE
del %0
=== file.bat ===
Но вот его появление после каждой загрузки и ругань на него со стороны аваста настораживают.
Заранее благодарен за помощь!
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('Beep.sys','');
QuarantineFile('C:\WINDOWS\services.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winbx16.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winct58.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Windt37.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winfv14.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wingv24.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winji14.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winnu47.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winuj15.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winxa14.sys','');
DeleteService('Alerter Antivirus');
DeleteService('avast!TrkWks');
DeleteService('CiSvcSCardSvr');
DeleteService('ClipSrvERSvc');
DeleteService('FastUserSwitchingCompatibility HotKey Poller');
DeleteService('FontCache3.0.0.0aswUpdSv');
DeleteService('IAANTMON Antivirus');
DeleteService('LmHostsSCardSvr');
DeleteService('LmHostsSCardSvrImapiService');
DeleteService('MessengerWZCSVC');
DeleteService('MSDTCWebClient');
DeleteService('NetmanUPSMSSQLServerADHelper');
DeleteService('RpcLocatorImapiService');
DeleteService('RpcLocatorUPS Antivirus');
DeleteService('RpcLocatorUPS');
DeleteService('RSVPWZCSVC');
DeleteService('SharedAccessxmlprov');
DeleteService('SSDPSRVHTTPFilter');
DeleteService('UPSMSSQLServerADHelper');
DeleteService('Winbx16');
DeleteService('Winct58');
DeleteService('Windt37');
DeleteService('Winfv14');
DeleteService('Wingv24');
DeleteService('Winji14');
DeleteService('Winnu47');
DeleteService('Winry46');
DeleteService('Winuj15');
DeleteService('Winxa14');
DeleteService('WmiNetDDEdsdm');
DeleteService('WZCSVCseclogon');
DeleteService('Bonjour Service');
DelBHO('{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}');
DelBHO('{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}');
DeleteFile('c:\program files\bonjour\mdnsresponder.exe');
DeleteFile('C:\WINDOWS\services.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbx16.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winct58.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Windt37.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfv14.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingv24.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winji14.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winnu47.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winry46.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winuj15.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxa14.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Alerter Antivirus');
BC_DeleteSvc('avast!TrkWks');
BC_DeleteSvc('CiSvcSCardSvr');
BC_DeleteSvc('ClipSrvERSvc');
BC_DeleteSvc('FastUserSwitchingCompatibility HotKey Poller');
BC_DeleteSvc('FontCache3.0.0.0aswUpdSv');
BC_DeleteSvc('IAANTMON Antivirus');
BC_DeleteSvc('LmHostsSCardSvr');
BC_DeleteSvc('LmHostsSCardSvrImapiService');
BC_DeleteSvc('MessengerWZCSVC');
BC_DeleteSvc('MSDTCWebClient');
BC_DeleteSvc('NetmanUPSMSSQLServerADHelper');
BC_DeleteSvc('RpcLocatorImapiService');
BC_DeleteSvc('RpcLocatorUPS Antivirus');
BC_DeleteSvc('RpcLocatorUPS');
BC_DeleteSvc('RSVPWZCSVC');
BC_DeleteSvc('SharedAccessxmlprov');
BC_DeleteSvc('SSDPSRVHTTPFilter');
BC_DeleteSvc('UPSMSSQLServerADHelper');
BC_DeleteSvc('Winbx16');
BC_DeleteSvc('Winct58');
BC_DeleteSvc('Windt37');
BC_DeleteSvc('Winfv14');
BC_DeleteSvc('Wingv24');
BC_DeleteSvc('Winji14');
BC_DeleteSvc('Winnu47');
BC_DeleteSvc('Winry46');
BC_DeleteSvc('Winuj15');
BC_DeleteSvc('Winxa14');
BC_DeleteSvc('WmiNetDDEdsdm');
BC_DeleteSvc('WZCSVCseclogon');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer . Если он не запущен - запустите!!!
- Сделайте повторные логи
Код:
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2 п.4 правил).
- Прикрепите логи к новому сообщению.
Junior Member
Вес репутации
57
Вроде бы, полегчало.
По поводу карантина не уверен. Мне сейчас нужно что-то из карантина присылать?
Заранее благодарен.
Вложения
Пофиксить
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Forsite\vdacxnc.exe \s
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ilkdow.exe','');
DeleteFile('C:\Documents and Settings\Forsite\vdacxnc.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин...
Junior Member
Вес репутации
57
Спасибо за помощь! Прилагаю новые логи.
Карантин также закачал.
Вложения
ilkdow.exe-Trojan-PSW.Win32.Agent.kvz
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\ilkdow.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Повторите стандартный лог № 2
Junior Member
Вес репутации
57
Ага, есть такое дело. С первого раза почему-то не удалился: вероятно, автоматическое восстановление системы шалит.
Новый лог прилагаю.
Вложения
Junior Member
Вес репутации
57
Супер! Огромное спасибо за помощь!
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 3 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\system32\\ilkdow.exe - Trojan-PSW.Win32.Agent.kvz (DrWEB: Trojan.Spambot.3561)