-
Junior Member
- Вес репутации
- 56
Polip и Palevo наседают
антивирус часто отлавливает Net-Worm.Win32.Kolab.***, P2P-Worm.Win32.Palevo.***, P2P-Worm.Win32.Polip.a
Обнаруживаются в файлах с именами [две-три цифры].exe которые загружает svchost.exe.
Почти каждый сеанс работы заканчивается ошибкой "Svchost.exe ошибка приложения. Инструкция по адресу ******* обратилась к памяти по
адресу ********. память не может быть writen".
Помоему, после этого сообщения комп виснет, хотя открытый заранее диспетчер задач показывает
невысокую загрузку процессора.
Кстати, AVZ не обновляется.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\msvmcls64.exe');
QuarantineFile('C:\WINDOWS\system32\umdmgr.exe','');
QuarantineFile('C:\WINDOWS\system32\flcss.sys','');
QuarantineFile('c:\windows\system32\msvmcls64.exe','');
DeleteFile('c:\windows\system32\msvmcls64.exe');
DeleteFile('C:\WINDOWS\system32\umdmgr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MS Virtual CLS');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','259');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','940');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','313');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','388');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','127');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','974');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','400');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','764');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','214');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + лог http://virusinfo.info/showpost.php?p=493610&postcount=1
Последний раз редактировалось thyrex; 15.03.2010 в 20:23.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 56
после выполнения скрипта AVZ смогла обновиться.
если правильно понял, то сделал логи как в первый раз, так и ComboFix'овский.
карантин вроде выслал.
-
Пока не обновите: Platform: Windows XP SP2 (WinNT 5.01.2600), будете лечиться у нас.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 56
то есть мне надо установить обновление, подлечиться и всё? я правильно понял?
-
Сначала пролечиться, а потом обновиться с учетом того, что у Вас система "сборка".
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Утилиту KL AntiFunLove сами устанавливали?
Скачайте Avenger by Swandog46 и распакуйте на рабочий стол.
Запустите Avenger, скопируйте и вставьте текст ниже в окно выполнения скрипта
Код:
Drivers to disable:
Drivers to delete:
Files to delete:
c:\windows\alevir.exe
c:\windows\brasil.exe
c:\windows\scrsvr.exe
c:\windows\srv32.exe
c:\windows\system32\bride.exe
c:\windows\system32\aavar.pif
c:\windows\brasil.pif
Folders to delete:
Registry values to delete:
Registry keys to delete:
Нажмите Execute и подтвердите, нажав Yes
Avenger автоматически выполнит следующее:
* Перезагрузит компьютер (в случае если скрипт содержит Drivers to Delete, Avenger перезагрузит компьютер дважды)
* При перезагрузке кратковременно появится черное окно, это нормально
* После перезагрузки будет создан лог файл C:\avenger.txt с результатами работы Avenger.
* Avenger также сохранит удаляемые файлы в архиве C:\avenger\backup.zip.
Файл c:\avenger.txt прикрепите к следующему сообщению.
Последний раз редактировалось thyrex; 15.03.2010 в 18:00.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 56
-
Все удалилось. Теперь для порядка логи AVZ повторите.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
+ к PavelA
Хотелось бы увидеть ответ
Сообщение от
thyrex
Утилиту KL AntiFunLove сами устанавливали?
Лог ComboFix новый также сделайте
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 8
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\msvmcls64.exe - Email-Flooder.Win32.Agent.ah ( DrWEB: Trojan.MulDrop1.6506, BitDefender: Trojan.Inject.VB.AB )
-
