-
Junior Member
- Вес репутации
- 53
Словил BHO.acps и не могу самостоятельно доизбавиться
Здравствуйте! Лазил в поисках работы по соответствующим сайтам и каким-то образом словил эту гадость. Вылезло окно ПО FileDownloader, про 6 часов, заплатить смс и всё остальное. До этого касперский стал верещать на BHO.acsp в каком-то файле и что неизвестная программа пытается внести изменения в драйвер /drivers/aec.sys и единственная кнопка - разрешить (!). Сначала я пофиксил файлик, больше подозрительного не было, ну я и нажал на "разрешить", т.к. других возможностей не было. И понеслось... красное окошечко, и второй день битвы за ресурсы.
Почитав ваш форум про этот вирус, выполнял скрипты, перезагружался, пару раз ничего даже не получалось, но потом кое как удалось избавиться хотя бы от окошка и наладить интернет. AVZ и Касперский 2010 ничего после этого не нашли, и я успокоился. Пока сегодня не вылезло: WMI пытается получить доступ к вредоносному ПО: \system32\fjhdyfhsn.bat (троян Trojan.BAT.Agent.vf). Поиск по сайту опять дал различные решения, но посмотрев скрипты, половину того, что они делают - у меня нет. А батник пытается сделать @del /F /Q "C:\Program Files\Internet Explorer\IEXPLORE.EXE", поэтому пришлось делать копию этого файлика.
В реестре есть запись /windows/currentversion/run sysgif32.exe c:\temp\~tmd.tmp
Файлик в папке темп тоже присутствует, как и c:\temp\~tme.tmp от того же времени создания, что и время заражения.
SYSTEM32\WBEM\WMIPRVSE.EXE занимает 227840 байт, что и не на инфицированном ноуте. Но каким образом он вызывает тогда батник, если время его изменения на компьютере датируется установкой системы?
Пожалуйста, помогите долечиться.
Get2.zip из тем ниже использовал, не помогло. Если вручную стирать swenum.sys - восстанавливается вместе с окошком. Во второй раз после применения get2.zip не стирал.
P.S.: AVZ посчитал в папке C:/EOF что там троян, но это ошибка ServerConsole - это своя разработка игры.
Последний раз редактировалось SLYrus; 15.12.2009 в 13:34.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\TEMP\~TMD.tmp','');
QuarantineFile('C:\Documents and Settings\SLY\Главное меню\Программы\Автозагрузка\siszyd32.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\wcwxka.SYS','');
DeleteFile('C:\WINDOWS\System32\Drivers\wcwxka.SYS');
DeleteFile('C:\Documents and Settings\SLY\Главное меню\Программы\Автозагрузка\siszyd32.exe');
DeleteFile('C:\TEMP\~TMD.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\System\PrintFilterPipelineSvc','EventMessageFile');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=63780).
Сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Выполнил скрипт, и отправил карантин через форму.
-
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Вот и логи подоспели
-
-
-
Junior Member
- Вес репутации
- 53
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 10
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\sly\главное меню\программы\автозагрузка\siszyd32.exe - Trojan-Dropper.Win32.Agent.bjpb ( DrWEB: Trojan.MulDrop.53398, BitDefender: Trojan.Generic.2898643, AVAST4: Win32:Small-NDO [Trj] )
- c:\temp\~tmd.tmp - Trojan-Dropper.Win32.Agent.bjpb ( DrWEB: Trojan.MulDrop.53398, NOD32: Win32/TrojanProxy.Tikayb.A trojan, AVAST4: Win32:Small-NDO [Trj] )
-