Junior Member
Вес репутации
58
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{296AB8C6-FB22-4D17-8834-064E2BA0A6F0}');
QuarantineFile('C:\WINDOWS\Intel\baiduc.dll','');
QuarantineFile('C:\WINDOWS\system32\scvhost.exe','');
QuarantineFile('C:\WINDOWS\system32\XR5nPhu9.dll','');
QuarantineFile('C:\WINDOWS\system32\wS0GWMZ.dll','');
QuarantineFile('C:\WINDOWS\system32\efc0c52cc1.dll','');
QuarantineFile('C:\WINDOWS\system32\BMsg6pdMD4ht.dll','');
QuarantineFile('C:\WINDOWS\system32\2EF0D734.dll','');
QuarantineFile('C:\WINDOWS\fonts\gth23505.ttf','');
QuarantineFile('c:\windows\system32\userinit.exe','');
DeleteFile('C:\WINDOWS\fonts\gth23505.ttf');
DeleteFile('C:\WINDOWS\fonts\gth39513.ttf');
DeleteFile('C:\WINDOWS\fonts\gth63328.ttf');
DeleteFile('C:\WINDOWS\fonts\gth64329.ttf');
DeleteFile('C:\WINDOWS\fonts\gth66020.ttf');
DeleteFile('C:\WINDOWS\fonts\gth67327.ttf');
DeleteFile('C:\WINDOWS\fonts\gth68327.ttf');
DeleteFile('C:\WINDOWS\fonts\gth75328.ttf');
DeleteFile('C:\WINDOWS\fonts\gth79331.ttf');
DeleteFile('C:\WINDOWS\fonts\gth80329.ttf');
DeleteFile('C:\WINDOWS\fonts\gth82326.ttf');
DeleteFile('C:\WINDOWS\fonts\gth83327.ttf');
DeleteFile('C:\WINDOWS\fonts\gth86325.ttf');
DeleteFile('C:\WINDOWS\fonts\gth92327.ttf');
DeleteFile('C:\WINDOWS\system32\2EF0D734.dll');
DeleteFile('C:\WINDOWS\system32\56BC86C7.dll');
DeleteFile('C:\WINDOWS\system32\76B9BA7A.dll');
DeleteFile('C:\WINDOWS\system32\BMsg6pdMD4ht.dll');
DeleteFile('C:\WINDOWS\system32\efc0c52cc1.dll');
DeleteFile('C:\WINDOWS\system32\wS0GWMZ.dll');
DeleteFile('C:\WINDOWS\system32\XR5nPhu9.dll');
DeleteFile('C:\WINDOWS\system32\08223B03.dll');
DeleteFile('C:\WINDOWS\system32\STG4WdmetW2FP.dll');
DeleteFile('C:\WINDOWS\system32\scvhost.exe');
DeleteFile('C:\WINDOWS\Intel\baiduc.dll');
DeleteFileMask('%tmp% ','*.* ',true );
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин по правилам и повторите логи...
Junior Member
Вес репутации
58
Скрипт выполнил, перезагрузился... В диспетчере задач висят процессы "591703_xeex.exe", "insccoo.exe", "is-R03CB.exe"...
Новые логи во вложении...
Junior Member
Вес репутации
58
Вложения
Junior Member
Вес репутации
58
Извиняйте!
Вот карантин!
Файл сохранён как 090407_150916_virus_49db345cd8d5f.zip
Размер файла 324189
MD5 77912b0af8d7a8e2ba8b4402cb9a95a5
Сделайте полную проверку CureIT и повторите логи...
Junior Member
Вес репутации
58
Вложения
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\COMRes.dll','');
DeleteFile('C:\WINDOWS\fonts\gth63328.ttf');
DeleteFile('C:\WINDOWS\fonts\gth64329.ttf');
DeleteFile('C:\WINDOWS\fonts\gth66329.ttf');
DeleteFile('C:\WINDOWS\fonts\gth68327.ttf');
DeleteFile('C:\WINDOWS\fonts\gth79331.ttf');
DeleteFile('C:\WINDOWS\fonts\gth85326.ttf');
DeleteFile('C:\WINDOWS\system32\scvhost.exe');
DeleteFile('C:\WINDOWS\Fonts\ComRes.dll');
DeleteFile('C:\WINDOWS\winsys.exe');
DeleteFile('C:\WINDOWS\winyyy.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин...
1. Нажмите кнопку "Пуск" и выберите команду "Выполнить".
2. В диалоговом окне "Открыть" введите команду cmd и нажмите кнопку "OK".
3. В командной строке введите sfc /scannow и нажмите "ENTER".
Windows будет проверять целостность системных файлов,понадобится диск с дистрибутивом.
Повторите логи...
Junior Member
Вес репутации
58
Всё сделал...
Когда проверка виндовых файлов завершилась, AVZ и hijackthis не запустились! После перезагрузки всё норм!
Вложения
В логах чисто, установите SP3+all updates...
Junior Member
Вес репутации
58
Спасибо!
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 27 В ходе лечения обнаружены вредоносные программы:
c:\windows\fonts\comres.dll - Trojan-GameThief.Win32.OnLineGames.uvap c:\windows\fonts\gth39513.ttf - Trojan-GameThief.Win32.OnLineGames.blts ( DrWEB: Trojan.PWS.Wsgame.origin, BitDefender: DeepScan:Generic.PWS.Games.3.F39A1B9A ) c:\windows\fonts\gth62333.ttf - Trojan-GameThief.Win32.OnLineGames.uull ( DrWEB: Trojan.PWS.Wsgame.10866, BitDefender: DeepScan:Generic.PWS.Games.3.61B0275A ) c:\windows\fonts\gth64329.ttf - Packed.Win32.Krap.b ( BitDefender: DeepScan:Generic.PWS.Games.3.7908F018 ) c:\windows\fonts\gth68327.ttf - Trojan-GameThief.Win32.OnLineGames.uuld ( BitDefender: DeepScan:Generic.PWS.Games.3.5D257532 ) c:\windows\fonts\gth75328.ttf - Trojan-GameThief.Win32.OnLineGames.uuwe ( DrWEB: Trojan.PWS.Wsgame.10868, BitDefender: DeepScan:Generic.PWS.Games.3.2471E907 ) c:\windows\fonts\gth79331.ttf - Trojan-GameThief.Win32.OnLineGames.uuqq ( BitDefender: DeepScan:Generic.PWS.Games.3.B500F65C ) c:\windows\fonts\gth80329.ttf - Trojan-GameThief.Win32.OnLineGames.uuqw ( DrWEB: Trojan.PWS.Wsgame.origin, BitDefender: DeepScan:Generic.PWS.Games.3.CD9CFEFE ) c:\windows\fonts\gth82326.ttf - Trojan-GameThief.Win32.OnLineGames.uvcz ( DrWEB: Trojan.PWS.Wsgame.10867, BitDefender: Generic.PWS.Games.3.9ABE9F30 ) c:\windows\fonts\gth83327.ttf - Trojan-GameThief.Win32.OnLineGames.uuqn ( DrWEB: Trojan.PWS.Wsgame.10868, BitDefender: DeepScan:Generic.PWS.Games.3.E3A2B640 ) c:\windows\fonts\gth85326.ttf - Trojan-GameThief.Win32.OnLineGames.uvda ( BitDefender: DeepScan:Generic.PWS.Games.3.A2C61610 ) c:\windows\fonts\gth86325.ttf - Trojan-GameThief.Win32.OnLineGames.uvdb ( DrWEB: Trojan.PWS.Wsgame.10867, BitDefender: DeepScan:Generic.PWS.Games.3.61C03500 ) c:\windows\intel\baiduc.dll - not-a-virus:AdWare.Win32.Cinmus.andj ( DrWEB: Adware.Cinmus.2199, BitDefender: DeepScan:Generic.Adw.Cinmus.2.52392EAD ) c:\windows\system32\bmsg6pdmd4ht.dll - Trojan-GameThief.Win32.Magania.ayhk ( DrWEB: Trojan.PWS.Wsgame.origin, BitDefender: Generic.Lmir.5C9E9C39 ) c:\windows\system32\efc0c52cc1.dll - Trojan-GameThief.Win32.Magania.ayeg ( DrWEB: Trojan.PWS.Gamania.origin, BitDefender: Generic.Onlinegames.14.23E84ADC ) c:\windows\system32\userinit.exe - Trojan-Downloader.Win32.small.akbc ( BitDefender: Trojan.Downloader.Agent.ZAW ) c:\windows\system32\ws0gwmz.dll - Trojan-GameThief.Win32.Magania.ayeg ( DrWEB: Trojan.PWS.Wsgame.origin, BitDefender: Generic.Onlinegames.14.BC336D50 ) c:\windows\system32\xr5nphu9.dll - Trojan-GameThief.Win32.Magania.ayhz ( DrWEB: Trojan.PWS.Wsgame.origin, BitDefender: Generic.Onlinegames.14.F8E3FA85 ) c:\windows\system32\2ef0d734.dll - Trojan-GameThief.Win32.Magania.ayeg ( DrWEB: Trojan.PWS.Gamania.origin, BitDefender: Generic.Onlinegames.14.83CB7210 ) c:\windows\winyyy.sys - Trojan.Win32.Agent.bxib ( DrWEB: Trojan.Duan )