-
Junior Member
- Вес репутации
- 53
полечился от ПО File Downloader...
Доброго времени суток...
полечился от ПО File Downloader при помощи утилиты get2.
Заставка вируса исчезла, но напрягает, что в режиме простоя система жрет 50% CPU
Причем отжирает C:\WINDOWS\system32\svchost -k DcomLaunch
Раньше вроде бы такого небыло...
Просьба посмотреть логи после лечения.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполнить скрипт:
Код:
begin
SetAVZPMStatus(True);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile(C:\WINDOWS\system32\userinit.exe','');
QuarantineFile('C:\Documents and Settings\Wizekaa\Главное меню\Программы\Автозагрузка\siszyd32.exe','');
DeleteFile('C:\Documents and Settings\Wizekaa\Главное меню\Программы\Автозагрузка\siszyd32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Прислать карантин по Правилам.
Сделать заново логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 53
Карантин выслал.
Новые логи.
PS: в скрипте в строчке "QuarantineFile(C:\WINDOWS\system32\userinit.exe', '');" пропушен апостроф... специально или опечатка?
-
Очепятка. Этот файл отдельно пришлите на проверку.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 53
Я так и подумал, что опечатка, поэтому добавил апостроф и прогнал весь скрипт целиком.
Всеравно прислать этот файл отдельно? Через аплоад карантина?
-
профиксить:
Код:
F2 - REG:system.ini: UserInit=\\.\globalroot\systemroot\system32\userinit.exe,
O4 - HKLM\..\Run: [sysgif32] C:\WINDOWS\TEMP\~TMC.tmp
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\TEMP\~TMC.tmp','');
DeleteFile('C:\WINDOWS\TEMP\~TMC.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Прислать карантин.
Повторить станд скрипт №2 + лог Хиджака.
userinit.exe попробу й просто руками через поиск в AVZ найти и добавить в карантин.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 53
Сделал.
userinit.exe итак два раза представлен в первоначально высланном карантине.
Новые логи.
И еще... Windows просит заново активироваться... это нормально для нашего случая?
PS: Упс... не прогнал скрипт ((( подождите поправлю и заново логи сделаю...
-
В карантине только ini-файл на userinit.exe с указанием размера, а самого его нет.
Активацию системы данные скрипты не должны были вызвать.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 53
Вот логи после прогона скрипта.
AVZ своим поиском файл userinit.exe не нашел...
Новый карантин загрузил.
Активация вроде стала требоваться после запуска get2.
-
А Вы только get2 запускали? Удаление файла swenum.sys сделали?
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 53
да. swenum.sys удалил.
восстановился он автоматически, только дата старая и размер другой
Добавлено через 2 часа 57 минут
Так что делать то?
Активировать или нет?
Осталось ли в логах еще что-то криминальное?
Последний раз редактировалось Wizekaa78; 18.12.2009 в 14:59.
Причина: Добавлено
-
Backdoor.Win32.Bredolab.bnu - свежий в карантине был. В логах более ничего плохого не увидел.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 53
т.е. можно активировать Windows заново?
вроде работает нормально, ресурсы не жрет...
-
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 10
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\wizekaa\главное меню\программы\автозагрузка\siszyd32.exe - Backdoor.Win32.Bredolab.bnu ( DrWEB: Trojan.Botnetlog.123, AVAST4: Win32:Malware-gen )
-