-
Junior Member
- Вес репутации
- 53
Непонятный вирус, помогите пожалуйста !!!
Извините, есть очень важная проблема, попытаюсь обьяснить. Вообщем компьютер при перезагрузке запускает файлы с именем 42.exe 52.exe 74.exe и т.д. результатом запуска является черное окошко где по строчкам бегает курсор, эти программы можно завершить, файлы - удалить, файлы все равно появляются в папке temp пользователя или в папке windows\temp с произвольным именем "(две цифры).exe". AVZ ничего не находит, cureit в безопасном то же, на компьютере стоит drweb обновленный который то же ничего подозрительного не находит. Еще есть процесс в автозагрузке smsc, пробовал его удалить, удалил все значения в реестре с этим именем, но после перезагрузки компьютера он снова появляется. Подскажите пожалуйста что можно сделать чтобы избавиться от зловреда.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 53
Кто нибудь помогите, очень прошу !!!
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
QuarantineFile('C:\autorun.inf','');
QuarantineFile('E:\DOCUME~1\9335~1\LOCALS~1\Temp\011373~1.EXE','');
DeleteService('0113731254238359mcinstcleanup');
QuarantineFile('E:\WINDOWS\system32\drivers\dwsvc32.sys','');
SetServiceStart('lanmandriver32', 4);
DeleteService('lanmandriver32');
TerminateProcessByName('e:\windows\system32\smsc.exe');
QuarantineFile('e:\windows\system32\smsc.exe','');
DeleteFile('e:\windows\system32\smsc.exe');
DeleteFile('E:\DOCUME~1\9335~1\LOCALS~1\Temp\011373~1.EXE');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','smsc.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('E:\WINDOWS\system32\drivers\dwsvc32.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Обновите базы AVZ
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Карантин прислал, логи делаются.
-
Junior Member
- Вес репутации
- 53
А вот и логи. Спасибо за то что помогаете. Большое спасибо.
Последний раз редактировалось OLEGARH; 21.10.2009 в 08:15.
-
virusinfo_cure.zip уберите из вложений
Выполните скрипт в AVZ
Код:
begin
DeleteFile('C:\autorun.inf');
ExecuteSysClean;
RebootWindows(true);
end.
После перезагрузки лог virusinfo_syscheck.zip сделайте
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Спасибо за помощь, все хорошо, а строчку (DeleteFile('C:\autorun.inf') из скрипта не нужно делать, потому как он запускает мне программу настройки беспроводного соединения, и ничего опасного там нет. Спасибо еще раз. Скажите пожалуйста что это было ? Что за вирус то ? А то хотелось бы знать на будущее.
-
Сообщение от
OLEGARH
а строчку (DeleteFile('C:\autorun.inf')
из скрипта не нужно делать
Не делайте
Сообщение от
OLEGARH
Скажите пожалуйста что это было ? Что за вирус то ?
e:\windows\system32\smsc.exe - Backdoor.Win32.IRCBot.mog
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 10
- В ходе лечения обнаружены вредоносные программы:
- e:\windows\system32\smsc.exe - Backdoor.Win32.IRCBot.mog ( DrWEB: Tool.TcpZ, BitDefender: Trojan.Peed.Gen )
-