Здравствуйте.
Как-то видел в разделе новостей сайта virusinfo информацию про программку RemoveIT Pro. Сегодня решил опробовать. После установки запустил и через несколько минут появилось сообщение об опасном файле>>> Infected file (Sys32.odioldvr) C:\WINDOWS\system32\odioldvr.dll
Прежде чем производить какие-либо действия поискал в Интернете. Чего-то конкретного не нашел. Поэтому решил обратиться к вам, для компетентной помощи.
Логи прилагаются.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('I:\autorun.inf','');
QuarantineFile('C:\Documents and Settings\sobolev\.exe','');
DeleteFile('C:\Documents and Settings\sobolev\.exe');
DeleteFile('I:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Спасибо за оперативность.
Файл autorun.inf это подарок от Панды под названием USB Vaccine. Т.е. как вы знаете, защищает данный файл от модификации и удаления. Возможно не стоит выполнять эту часть скрипта?
И не могли бы подсказать, зачем необходимы эти строки скрипта:
QuarantineFile('C:\Documents and Settings\sobolev\.exe','');
DeleteFile('C:\Documents and Settings\sobolev\.exe');
Очень хочется разобраться в том, что буду выполнять
Прошу прощения за задержку.
Скрипт выполнил.
Логи приложил.
Профиксить не удалось, т.к. данной строки просто не нашлось.
Карантин в виде архива приложен.
Напишите пожалуйста, когда посмотрите этот странный файл .exe
Интересно, что это могло быть и откуда взялось.
Спасибо за помощь.
Выполнил скрипт.
Карантин пуст.
Просканировал USB-Flash носитель, на котором имеется данный файл с помощью АВЗ и попытался в «протоколе найденных объектов» добавить в карантин autorun.ini, ничего не получилось. Попытался удалить, после перезагрузки, тот же результат.
Как только поставил с помощью USB Vaccine данный файл на flash, сразу попробовал его удалить или изменить, ничего не вышло. Как понимаю, тут поможет только формат.
Если вам интересно изучить данный файл, то наверное можно вам также воспользоваться данной утилитой
Файл C:\Documents and Settings\sobolev\.exe тоже не был прислан в карантине? В логе hijackthis данная строка отсутствовала.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: