-
Junior Member
- Вес репутации
- 56
ещё один imax
Добрый день, попался ещё один комп с Imax, лечил фактически руками, загрузил PE, убрал dll с размером 133К и прибил srda64 (вроде так назывался).
после чего сделал восстановление avz
сейчас вроде всё запускается и зараза не выскакивает, но хотелось бы убедится...
сорри, скрипты выполнял при запущенном avp tools
посмотрите пожалуйста
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 56
-
Пофиксить в HijackThis
Код:
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O20 - AppInit_DLLs: C:\WINDOWS\system32\kbgbmvq.dll
ПК перезагрузите.
Выполните скрипт в avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{88888888-8888-8888-8888-888888888888}');
DelBHO('{9D64F819-9380-8473-DAB2-702FCB3D7A3E}');
QuarantineFile('C:\Documents and Settings\user\Application Data\bpfeed.dll','');
DeleteFile('C:\Documents and Settings\user\Application Data\bpfeed.dll');
DeleteFile('C:\WINDOWS\system32\kbgbmvq.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
-
-
Junior Member
- Вес репутации
- 56
спасибо
насчёт kbgbmvq.dll тоже сомневался, хотел прибить но не успел
логи кроме сбора карантина прикладываю, остальное если успею - позже
cure ессно старый - до лечения
а.. cure не грузицца, он под мег размером
куда прислать?
-
Это вам знакомо ? E:\autorun.inf
-
-
Junior Member
- Вес репутации
- 56
спасибо, надо же, такую очевидность недоглядел, это флэшка на которой таскал логи на здоровый комп, небось ещё и заразил его...
-
Выполните скрипт в avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('E:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
Что с проблемой ?
-
-
Junior Member
- Вес репутации
- 56
да autorun то я руками уже прибил с этой флэшки, на другом компе, в нём был прописан запуск ap.dll из RECYCLER
что с проблемой - уж не знаю теперь с которой из них
imax то не появляется, но всё равно стрёмно, сейчас сбор карантина добегает - пришлю ещё раз
а с этим autorun на втором компе можно проверить не успел ли он напакостить, или надо опять по полной по правилам и на втором тоже?
Добавлено через 5 минут
syscure
Последний раз редактировалось romango; 13.12.2009 в 11:47.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 56
грузится долго, от момента приветствие до рабочего стола - минуты две -три
но правда не знаю как раньше было
Добавлено через 33 секунды
ну чего, больше ничего не делать?
ждать симптомов?
Последний раз редактировалось romango; 13.12.2009 в 11:48.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 56
defrag32
в догонку, вижу в модулях пространства ядра
defrag32.sys
и
defrag32b.sys
это не может быть заразой?
Последний раз редактировалось AndreyKa; 13.12.2009 в 18:52.
-
Ничего плохого в последнем логе
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 56
вкурил таки правила
переслал запрошенный карантин
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\sdra64.exe - Trojan-Spy.Win32.Zbot.adhe ( DrWEB: Trojan.PWS.Panda.171, BitDefender: Trojan.Generic.2850275, NOD32: Win32/Spy.Zbot.UN trojan, AVAST4: Win32:Zbot-MKO [Trj] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-