Здравствуйте!
Появляется pop-up в трее с надписью "Your computer is infected"
Периодически на экране появляется процесс установки PC_Antispyware2010.
Здравствуйте!
Появляется pop-up в трее с надписью "Your computer is infected"
Периодически на экране появляется процесс установки PC_Antispyware2010.
выполните скрипт
пришлите карантин согласно приложения 3 правилКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\sys32_nov.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\nvemu.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS',''); QuarantineFile('C:\WINDOWS\system32\Drivers\agp440.sys',''); QuarantineFile('c:\windows\system32\braviax.exe',''); DeleteFile('c:\windows\system32\braviax.exe'); DeleteFile('C:\WINDOWS\system32\sys32_nov.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sys32_nov'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи
Пока все так же
выполните скрипт
пофикситеКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\Administrator\Application Data\advantage\AdVantage.exe',''); QuarantineFile('C:\Documents and Settings\Administrator\Start Menu\Programs\Startup\ikowin32.exe',''); DeleteService('nvemu'); DeleteService('soemu'); QuarantineFile('C:\WINDOWS\System32\Drivers\soemu.SYS',''); DeleteFile('c:\windows\system32\braviax.exe'); DeleteFile('C:\Documents and Settings\Administrator\sys32_nov.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\soemu.SYS'); DeleteFile('C:\WINDOWS\system32\drivers\nvemu.sys'); DeleteFile('C:\Documents and Settings\Administrator\Start Menu\Programs\Startup\ikowin32.exe'); DeleteFile('C:\WINDOWS\system32\sys32_nov.exe'); DeleteFile('C:\Documents and Settings\Administrator\Application Data\advantage\AdVantage.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
C:\WINDOWS\system32\Drivers\agp440.sys - замените на чистый из дистрибутиваКод:O20 - AppInit_DLLs: cru629.dat
пришлите карантин согласно приложения 3 правил
повторите логи
Все так же пока.
Последний раз редактировалось yojik; 15.09.2009 в 05:33.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\regedit.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS',''); TerminateProcessByName('c:\windows\braviax.exe'); QuarantineFile('c:\windows\braviax.exe',''); DeleteFile('c:\windows\braviax.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','braviax'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32'); DeleteFile('C:\WINDOWS\system32\regedit.exe'); DeleteFile('C:\WINDOWS\system32\cru629.dat'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
C:\WINDOWS\System32\Drivers\Beep.SYS замените на чистый по этой методике
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Все так же
Последний раз редактировалось yojik; 16.09.2009 в 12:29.
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 28
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\administrator\start menu\programs\startup\ikowin32.exe - Trojan-Spy.Win32.Zbot.aaul ( DrWEB: Trojan.Botnetlog.11, NOD32: Win32/TrojanDownloader.Bredolab.AR trojan, AVAST4: Win32:Spyware-gen [Spy] )
- c:\windows\braviax.exe - Trojan-Downloader.Win32.FraudLoad.wraj ( DrWEB: Trojan.Fakealert.5013, BitDefender: Trojan.Generic.2416549, NOD32: Win32/TrojanDownloader.FakeAlert.GU trojan, AVAST4: Win32:Trojan-gen {Other} )
- c:\windows\system32\braviax.exe - Trojan-Downloader.Win32.FraudLoad.wraj ( DrWEB: Trojan.Fakealert.5013, BitDefender: Trojan.Generic.2416549, NOD32: Win32/TrojanDownloader.FakeAlert.GU trojan, AVAST4: Win32:Trojan-gen {Other} )
- c:\windows\system32\drivers\agp440.sys - Virus.Win32.Protector.c ( DrWEB: BackDoor.Siggen.784, BitDefender: Rootkit.Kobcka.Patched.Gen, AVAST4: Win32:Cutwail-Y [Trj] )
- c:\windows\system32\drivers\beep.sys - Backdoor.Win32.UltimateDefender.igv ( DrWEB: Trojan.NtRootKit.3206, BitDefender: Generic.Malware.P!.0EDB1150, AVAST4: Win32:FakeAV-NO [Rtk] )
- c:\windows\system32\sys32_nov.exe - Trojan-Downloader.Win32.Agent.cpqa ( DrWEB: Trojan.DownLoad.41506, BitDefender: Trojan.Generic.2458607, NOD32: Win32/TrojanDownloader.Bredolab.AA trojan, AVAST4: Win32:Trojan-gen )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) yojik, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.