Показано с 1 по 7 из 7.

Win32/Protector.C (заявка № 60959)

  1. #1
    Junior Member Репутация
    Регистрация
    23.11.2009
    Сообщений
    3
    Вес репутации
    31

    Question Win32/Protector.C

    NOD обнаруживает угрозу
    С:\WINDOWS\system32\drivers\atapi.sys


    Cобытие произошло при попытке доступа к файлу в следуещем приложении С:\WINDOWS\system32\svchost.exe

    удаление не возможно

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    199
    Выполните скрипт в avz
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    TerminateProcessByName('c:\windows\system32\photo_id.exe');
     QuarantineFile('C:\System Volume Information\_restore{82548C49-DC8A-4F0B-8523-EAAF51DD88BF}\RP31\A0010883.EXE','');
     QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
     QuarantineFile('C:\WINDOWS\system32\photo_id.exe','');
     QuarantineFile('C:\WINDOWS\system32\chknt32.exe','');
     QuarantineFile('C:\WINDOWS\system32\FPAP-EXL600\PdtGuide.exe','');
     QuarantineFile('C:\Documents and Settings\user\Рабочий стол\.\..\~tmp1174.exe','');
     QuarantineFile('C:\Documents and Settings\user\photo_id.exe','');
     QuarantineFile('C:\Documents and Settings\user\Главное меню\Программы\Автозагрузка\sysupd32.exe','');
     QuarantineFile('c:\windows\system32\photo_id.exe','');
     DeleteFile('c:\windows\system32\photo_id.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','photo_id');
     DeleteFile('C:\Documents and Settings\user\Главное меню\Программы\Автозагрузка\sysupd32.exe');
     DeleteFile('C:\Documents and Settings\user\photo_id.exe');
     DeleteFile('C:\Documents and Settings\user\Рабочий стол\.\..\~tmp1174.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','advap32');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Java Plug-in');
     DeleteFile('C:\WINDOWS\system32\photo_id.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','photo_id');
     DeleteFile('C:\WINDOWS\system32\regedit.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
     DeleteFile('C:\System Volume Information\_restore{82548C49-DC8A-4F0B-8523-EAAF51DD88BF}\RP31\A0010883.EXE');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    ПК перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте еще такой лог:
    http://virusinfo.info/showthread.php?t=40118.

    Сделайте новые логи.

  4. #3
    Junior Member Репутация
    Регистрация
    23.11.2009
    Сообщений
    3
    Вес репутации
    31
    Cкрипт выполнен, после перезагрузки сделан лог с помощью GMER

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,691
    Вес репутации
    3028
    Сохраните текст ниже как cleanup.bat в ту же папку, где находится 7kof425y.exe (gmer)
    Код:
    7kof425y.exe -del service rrcjqibbt
    7kof425y.exe -del file "C:\WINDOWS\system32\isetcw.dll"
    7kof425y.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\rrcjqibbt"
    7kof425y.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\rrcjqibbt"
    7kof425y.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\rrcjqibbt"
    7kof425y.exe -reboot
    И запустите cleanup.bat
    Компьютер перезагрузится

    Сделать новый лог gmer

    Это тоже было для Вас
    Цитата Сообщение от snifer67 Посмотреть сообщение
    Сделайте новые логи.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1363
    + это попробуйте http://www.secureblog.info/files/TDSSKiller.rar

  7. #6
    Junior Member Репутация
    Регистрация
    23.11.2009
    Сообщений
    3
    Вес репутации
    31
    Цитата Сообщение от thyrex Посмотреть сообщение
    Сохраните текст ниже как cleanup.bat в ту же папку, где находится 7kof425y.exe (gmer)
    Код:
    7kof425y.exe -del service rrcjqibbt
    7kof425y.exe -del file "C:\WINDOWS\system32\isetcw.dll"
    7kof425y.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\rrcjqibbt"
    7kof425y.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\rrcjqibbt"
    7kof425y.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\rrcjqibbt"
    7kof425y.exe -reboot
    И запустите cleanup.bat
    Компьютер перезагрузится

    Сделать новый лог gmer

    Это тоже было для Вас
    батник прошел с двумя ошибками после перезагрузки
    угроза сохранилась сейчас просканируется прикреплю новые логи

    Добавлено через 40 секунд

    Цитата Сообщение от Alex_Goodwin Посмотреть сообщение
    после запуска килера и нажатия любой клавиши просто закрывается и все...
    Последний раз редактировалось desa; 24.11.2009 в 12:47. Причина: Добавлено

  8. #7
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 7
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\user\главное меню\программы\автозагрузка\sysupd32.exe - Trojan-Dropper.Win32.Small.edb ( DrWEB: Trojan.DownLoad1.4576, AVAST4: Win32:Small-NDA [Trj] )
      2. c:\windows\system32\chknt32.exe - Trojan-Downloader.Win32.Agent.cvkd ( DrWEB: Trojan.PWS.Webmonier.178 )
      3. c:\windows\system32\photo_id.exe - Backdoor.Win32.HareBot.akj ( DrWEB: Trojan.DownLoad.41506, NOD32: Win32/Wigon.LX trojan )


  • Уважаемый(ая) desa, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Win32/Protector.I cdrom.sys
      От SmileyJesus в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 26.07.2010, 11:23
    2. Win32/Protector.F вирус
      От nfsu2 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 15.05.2010, 12:00
    3. Win32/Protector.H
      От neilflynn в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 23.03.2010, 14:10
    4. Win32/Protector.C вирус.
      От roman2270 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 10.12.2009, 22:42
    5. Win32/Protector.C и Win32/Rootkit.Agent.NKB (ESET)
      От Ariete в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 13.10.2009, 01:00

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01032 seconds with 16 queries