Junior Member
Вес репутации
57
Что делать после удаления вируса msauc.exe
Помогите, пожалуйста! После обнаружения вируса msauc.exe, утилита CureIt обнаружила еще несколько вирусов (все удалены). Посмотрите, пожалуйста, логи: при загрузке виндуса все время выдается сообщение о том, что загружается какое-то (неопределенное, без наименования) обновление.
Заранее спасибо.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Пофиксить
Код:
O4 - HKLM\..\Run: [lsass driver] C:\WINDOWS\msauc.exe
O4 - HKLM\..\Run: [C:\WINDOWS\system32\kdkfv.exe] C:\WINDOWS\system32\kdkfv.exe
O4 - HKLM\..\Run: [Cnaro] rundll32.exe "C:\WINDOWS\Lmopukasev.dll",e
O17 - HKLM\System\CCS\Services\Tcpip\..\{1F504C6D-5501-49C1-9EF7-75E0D8A8FFEB}: NameServer = 85.255.112.121;85.255.112.76
O17 - HKLM\System\CCS\Services\Tcpip\..\{4A5683E4-F483-424F-AB09-19BAB9C47AC3}: NameServer = 85.255.112.121;85.255.112.76
O17 - HKLM\System\CCS\Services\Tcpip\..\{649B5D75-38F0-48EA-90C2-47C2342815A8}: NameServer = 85.255.112.121;85.255.112.76
O17 - HKLM\System\CS1\Services\Tcpip\..\{1F504C6D-5501-49C1-9EF7-75E0D8A8FFEB}: NameServer = 85.255.112.121;85.255.112.76
O17 - HKLM\System\CS2\Services\Tcpip\..\{1F504C6D-5501-49C1-9EF7-75E0D8A8FFEB}: NameServer = 85.255.112.121;85.255.112.76
O17 - HKLM\System\CS3\Services\Tcpip\..\{1F504C6D-5501-49C1-9EF7-75E0D8A8FFEB}: NameServer = 85.255.112.121;85.255.112.76
O20 - Winlogon Notify: sbrige - sbrige.dll (file missing)
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\asferro.dll','');
QuarantineFile('C:\resycled\boot.com','');
QuarantineFile('C:\WINDOWS\system32\kdkfv.exe','');
QuarantineFile('C:\WINDOWS\msauc.exe','');
QuarantineFile('C:\WINDOWS\Lmopukasev.dll','');
DeleteFile('C:\WINDOWS\Lmopukasev.dll');
DeleteFile('C:\WINDOWS\msauc.exe');
DeleteFile('C:\WINDOWS\system32\kdkfv.exe');
DeleteFile('kdkfv.exe');
DeleteFile('msansspc.dll');
DeleteFile('sbrige.dll');
DeleteFile('C:\resycled\boot.com');
DeleteFile('C:\WINDOWS\system32\asferro.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин по правилам и повторите логи...
Junior Member
Вес репутации
57
Все выполнила, но при загрузке сразу же запускается "Update Manager" - это нормально? Большое спасибо.
Вложения
Пофиксить
Код:
O17 - HKLM\System\CCS\Services\Tcpip\..\{1F504C6D-5501-49C1-9EF7-75E0D8A8FFEB}: NameServer = 85.255.112.121;85.255.112.76
O17 - HKLM\System\CCS\Services\Tcpip\..\{4A5683E4-F483-424F-AB09-19BAB9C47AC3}: NameServer = 85.255.112.121;85.255.112.76
O17 - HKLM\System\CCS\Services\Tcpip\..\{649B5D75-38F0-48EA-90C2-47C2342815A8}: NameServer = 85.255.112.121;85.255.112.76
O17 - HKLM\System\CS2\Services\Tcpip\..\{1F504C6D-5501-49C1-9EF7-75E0D8A8FFEB}: NameServer = 85.255.112.121;85.255.112.76
O17 - HKLM\System\CS3\Services\Tcpip\..\{1F504C6D-5501-49C1-9EF7-75E0D8A8FFEB}: NameServer = 85.255.112.121;85.255.112.76
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('QWUTNJUR');
QuarantineFile('C:\WINDOWS\system32\drivers\QWUTNJUR.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\QWUTNJUR.sys');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('QWUTNJUR');
BC_Activate;
RebootWindows(true);
end.
Если попадет в карантин то пришлите и повторите логи...
Junior Member
Вес репутации
57
Повторяю логи и прикладываю карантин
Вложения
Junior Member
Вес репутации
57
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 39 В ходе лечения обнаружены вредоносные программы:
c:\\resycled\\boot.com - Worm.Win32.AutoRun.tgu (DrWEB: Trojan.Clb.23) c:\\windows\\system32\\asferro.dll - Rootkit.Win32.Podnuha.bjc (DrWEB: Trojan.Click.21117) c:\\windows\\system32\\kdkfv.exe - Trojan.Win32.DNSChanger.krv (DrWEB: Trojan.Virtumod.1456)