-
Junior Member
- Вес репутации
- 54
Самоудаление касперского-2
Компьютер - шлюз в небольшой сети. После перезагрузки пропадает касперский (регулярно) и вчера первый раз еще и офис исчез. Проверки регулярно проводятся, базы обновляются автоматом. Брандмауэр включен, обновления виндоус загружаются и устанавливаются, однако вякая дрянь всё равно лезет
Последний раз редактировалось laio; 05.12.2009 в 16:58.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('ND7RH662-4402-F05N-TME4-1W72SSDK2XVO');
QuarantineFile('C:\WINDOWS\system32\smss\build.exe','');
DeleteFile('C:\WINDOWS\system32\smss\build.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','sysx');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysx');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','smss');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','smss');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Повторить заново логи.
Прислать карантин по Правилам.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 54
Последний раз редактировалось laio; 05.12.2009 в 16:58.
-
Почему логи сделаны под ограниченной учетной записью? Восстановление системы почему включено?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
C:\WINDOWS\system32\smss\build.exe - Trojan.PWS.Multi.76 - в карантине. Следовательно, пароли ушли на сторону.
Выполнять все с правами Администратора + отключить Восстановление.
Профиксить:
Код:
O4 - HKLM\..\Run: [sysx] C:\WINDOWS\system32\smss\build.exe
O4 - HKCU\..\Run: [sysx] C:\WINDOWS\system32\smss\build.exe
O4 - HKLM\..\Policies\Explorer\Run: [smss] C:\WINDOWS\system32\smss\build.exe
O4 - HKCU\..\Policies\Explorer\Run: [smss] C:\WINDOWS\system32\smss\build.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [sysx] C:\WINDOWS\system32\smss\build.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [smss] C:\WINDOWS\system32\smss\build.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [smss] C:\WINDOWS\system32\smss\build.exe (User 'Default user')
Повторить скрипт из http://virusinfo.info/showpost.php?p=512585&postcount=2 без высылки карантина.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 54
Последний раз редактировалось laio; 05.12.2009 в 16:58.
-
C:\WINDOWS\system32\smss\build.bak удалите вручную
Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
удалил. По проблеме: нужно время для определения. Тему пока не закрывайте пожалуйста
-
Junior Member
- Вес репутации
- 54
Всё отлично работает. Спасибо. Правда дрянь какая-то все равно лезет постоянно.
-
Обновления безопасности системы все стоят? Пароли администратора крепкие?
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 54
Описанной проблемы не повторяется, спасибо.
Обновления - все, в автоматическом режиме, пользователь с правами админа работает без пароля. Ситуация: дистрибюутив касперского лежит на рабочем столе, вдруг ни с чего оказывает зараженным tenga.a, установленный антивирус находит и лечит, но в чем причина произошедшего заражения и как забороть - не знаю
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\smss\build.exe - Trojan.Win32.Sasfis.vjl ( DrWEB: Trojan.PWS.Multi.76, BitDefender: Trojan.Generic.2369970 )
-