Показано с 1 по 11 из 11.

Выпишите лекарство в виде скрипта, пожалуйста (заявка № 44538)

  1. #1
    Junior Member Репутация
    Регистрация
    16.04.2008
    Адрес
    Алтай
    Сообщений
    72
    Вес репутации
    36

    Thumbs down Выпишите лекарство в виде скрипта, пожалуйста

    На буке завелся вирус, который постоянно заражает флэшку, CureIt отрапортовал, что удалил его, но через Total Commander прекрасно видно что он окопался в Sistem32 под фамилией bxthmf.dll
    Выпишите лекарство, пожалуйста, анализы прилагаются.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,228
    Вес репутации
    3387
    1. Выполните скрипт:
    Код:
    begin
     BC_QrFile('C:\WINDOWS\system32\bxthmf.dll');
     QuarantineFile('C:\WINDOWS\system32\bxthmf.dll','');
     BC_Activate;
     RebootWindows(true);
    end.
    и пришлите карантин согласно правилам после перезагрузки (перед выполнение скрипта антивирус следует выключить, после перезагрузки - включить)

    2. В системе виден ряд неопознанных файлов, скорее всего оно все безопасные (антивирус, принтер), тем не менее в качестве элемента исследования стоит выполнить http://virusinfo.info/showthread.php?t=3519

  4. #3
    Junior Member Репутация
    Регистрация
    16.04.2008
    Адрес
    Алтай
    Сообщений
    72
    Вес репутации
    36
    Карантин выслала, получился в двух частях, вторая часть содержит bxthmf.dll и называется Virus2

    Скрипт выполнила, но при перезагрузке ничего не изменилось, так как вирус bxthmf.dll там же.

    На мой ламерский взгляд проблема может быть в размещении его части в

    C:\RECYCLER\S-1-5-21-790525478-842925246-1343024091-1004\Dc3284\Project1.exe >>> подозрение на Trojan-Downloader.Win32.Banload.bsh ( 090B8B3C 0560C115 0021E997 0025964C 436736)
    C:\RECYCLER\S-1-5-21-790525478-842925246-1343024091-1004\Dc3285\Setup\Tech_rem.CAB/{CAB}/Tech_rem.exe >>> подозрение на Trojan.Win32.Elitor ( 00452AA7 00241DC3 0039F9CC 00084F17 5324
    Прямое чтение C:\WINDOWS\system32\bxthmf.dll

    Но к сожалению Total Commander не видит эту директорию, и удалить ничего в ней я не могу.

    Добавлено через 5 минут

    PS:Не могу удержаться, чтобы не выразить Вам глубочайшее уважение за разработку оружия защиты, думаю вы будете жить очень долго, потому что очень много людей поминают Вас добрым словом, Олег Зайцев.
    Последний раз редактировалось Rina; 25.04.2009 в 18:21. Причина: Добавлено

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    972
    Rina, скрипт должен был только скопировать, ни о каком удалении речи не шло.
    антивирус не забыли выключить перед исполнением скрипта?
    Файл bxthmf.dll не попал в карантин.
    Попробуйте в безопасном режиме через avz найти bxthmf.dll и прислать
    (читайте приложение 2 правил)
    Удалять не надо, пока не скопирован и не отослан на анлиз.

  6. #5
    Junior Member Репутация
    Регистрация
    16.04.2008
    Адрес
    Алтай
    Сообщений
    72
    Вес репутации
    36
    Упс, нарушила последовательность, карантин получился в двух частях, до выполнения скипта и после, антивирус отключала.
    Почему-то вообразила, что мне уже выписали "Удаление" и даже не прочитала скрипт, вот до чего доводит самомнение. Вторую часть карантина тоже выслала (называется Virus2).

    Добавлено через 3 минуты

    А как добраться до C:\RECYCLER ?
    Последний раз редактировалось Rina; 25.04.2009 в 18:29. Причина: Добавлено

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    972
    Вижу, это оказался: Net-Worm.Win32.Kido.ih
    по касперскому.

    Для кидо есть специальная инструкция:http://support.kaspersky.ru/faq/?qid=208636215
    Также авптул можно попробовать.
    Только восстановление системы не забыть отключить перед лечением.
    Нужно обновления ставить на систему. Иначе опять залезет. Желательно под админом в инете не шастать

  8. #7
    Junior Member Репутация
    Регистрация
    16.04.2008
    Адрес
    Алтай
    Сообщений
    72
    Вес репутации
    36
    Большое спасибо за инфрмацию.
    Слава богу у хозяина этого бука нет вообще никай возможности лазить по инету, а то бы нам этого не пережить, и где он только подцепил эту гадость?

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    972
    Может подсоединялся к заражённому компьютеру или с заражённой флешки. Рекомендуется отключать автозапуск съёмных носителей на компьютере.
    После лечения сделайте заново логи.

  10. #9
    Junior Member Репутация
    Регистрация
    16.04.2008
    Адрес
    Алтай
    Сообщений
    72
    Вес репутации
    36
    К сожалению, хозяин бука уже умчался с ним на работу, последние логи сделать не успела, автозапуск отключить тоже, успела только подлечить, придется ждать следующего раза, думаю не долго. Говорит, что вирус попал к нему с телефона, на котором принесли фотки, необходимые для работы, выбора не было и он дал подключить.
    Как вы думаете, может червь авторан передаваться через телефон?

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1293
    Может. Для компьютера телефон просто одна из флэшек.

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 4
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\bxthmf.dll - Net-Worm.Win32.Kido.ih ( DrWEB: Win32.HLLW.Shadow.based, BitDefender: Win32.Worm.Downadup.Gen )


  • Уважаемый(ая) Rina, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. страница открывается в виде скрипта
      От snake69 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 24.06.2011, 06:28
    2. Подскажите лекарство
      От flyriver в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 09.11.2010, 11:24
    3. Лекарство для Apple
      От SDA в разделе Юмор
      Ответов: 0
      Последнее сообщение: 04.12.2009, 13:15
    4. нужно лекарство
      От D7772ima в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 27.10.2009, 17:58
    5. искал лекарство - нашел вирус!
      От akrav в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 21.02.2009, 17:32

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00915 seconds with 16 queries