ещё один imax
Добрый день, попался ещё один комп с Imax, лечил фактически руками, загрузил PE, убрал dll с размером 133К и прибил srda64 (вроде так назывался).
после чего сделал восстановление avz
сейчас вроде всё запускается и зараза не выскакивает, но хотелось бы убедится...
сорри, скрипты выполнял при запущенном avp tools
посмотрите пожалуйста
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
вложения
Пофиксить в HijackThis
ПК перезагрузите.Код:O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) O20 - AppInit_DLLs: C:\WINDOWS\system32\kbgbmvq.dll
Выполните скрипт в avz
ПК перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{88888888-8888-8888-8888-888888888888}'); DelBHO('{9D64F819-9380-8473-DAB2-702FCB3D7A3E}'); QuarantineFile('C:\Documents and Settings\user\Application Data\bpfeed.dll',''); DeleteFile('C:\Documents and Settings\user\Application Data\bpfeed.dll'); DeleteFile('C:\WINDOWS\system32\kbgbmvq.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
спасибо
насчёт kbgbmvq.dll тоже сомневался, хотел прибить но не успел
логи кроме сбора карантина прикладываю, остальное если успею - позже
cure ессно старый - до лечения
а.. cure не грузицца, он под мег размером
куда прислать?
Это вам знакомо ? E:\autorun.inf
спасибо, надо же, такую очевидность недоглядел, это флэшка на которой таскал логи на здоровый комп, небось ещё и заразил его...
Выполните скрипт в avz
ПК перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('E:\autorun.inf'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Что с проблемой ?
да autorun то я руками уже прибил с этой флэшки, на другом компе, в нём был прописан запуск ap.dll из RECYCLER
что с проблемой - уж не знаю теперь с которой из них
imax то не появляется, но всё равно стрёмно, сейчас сбор карантина добегает - пришлю ещё раз
а с этим autorun на втором компе можно проверить не успел ли он напакостить, или надо опять по полной по правилам и на втором тоже?
Добавлено через 5 минут
syscure
Последний раз редактировалось romango; 13.12.2009 в 11:47. Причина: Добавлено
грузится долго, от момента приветствие до рабочего стола - минуты две -три
но правда не знаю как раньше было
Добавлено через 33 секунды
ну чего, больше ничего не делать?
ждать симптомов?
Последний раз редактировалось romango; 13.12.2009 в 11:48. Причина: Добавлено
в догонку, вижу в модулях пространства ядра
defrag32.sys
и
defrag32b.sys
это не может быть заразой?
Последний раз редактировалось AndreyKa; 13.12.2009 в 18:52.
Ничего плохого в последнем логе
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
вкурил таки правила
переслал запрошенный карантин
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\sdra64.exe - Trojan-Spy.Win32.Zbot.adhe ( DrWEB: Trojan.PWS.Panda.171, BitDefender: Trojan.Generic.2850275, NOD32: Win32/Spy.Zbot.UN trojan, AVAST4: Win32:Zbot-MKO [Trj] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) romango, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
