-
Junior Member
- Вес репутации
- 52
Троян - появляется после перезагрузки
Касперский находит трояна и успешно его удаляет, но после перезагрузки троян оказывается вновь в системе.
При загрузке компа появляется предупреждение Касперского о заблокированной попытке svchosts соединения с фишинговым сайтом anabalikss.com
Так же заблокирован доступ к некоторым сайтам в интернете в частности к virusinfo.info, virustotal.com. Вход на эти сайты возможен только через прокси.
логи прикрепляю.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите в HiJack
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\14784fbc.exe,C:\WINDOWS\system32\bc45edd0.exe,\\?\globalroot\systemroot\system32\lcddfKv.exe,
Скачайте полиморфный AVZ (ссылка в моей подписи)
Выполните скрипт в полиморфном AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\bc45edd0.exe','');
QuarantineFile('C:\WINDOWS\system32\14784fbc.exe','');
QuarantineFile('c:\program files\wnet\fjvozfv.exe','');
DeleteFile('C:\WINDOWS\system32\14784fbc.exe');
DeleteFile('C:\WINDOWS\system32\bc45edd0.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Инструкция выполнена.
Карантин загружен:
Файл сохранён как 100424_144056_virus_4bd2cab8a0713.zip
Размер файла 1975241
MD5 43711815405d4e528af56c06fe320a53
Что дальше?
-
Junior Member
- Вес репутации
- 52
Сорри. Забыла прикрепить новые логи.
Вот они.
-
Папка C:\Program Files\wnet и ее содержимое Вам известны?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Сообщение от
thyrex
Папка C:\Program Files\wnet и ее содержимое Вам известны?
папка не известна - в проводнике я ее не вижу (показ скрытых/системных файлов разрешен).
Предупреждение Касперского о заблокированной попытке svchosts соединения с фишинговым сайтом anabalikss.com так и осталось.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\program files\wnet\fjvozfv.exe');
QuarantineFile('c:\program files\wnet\fjvozfv.exe','');
DeleteFile('c:\program files\wnet\fjvozfv.exe');
DeleteFileMask('c:\program files\wnet', '*.*', true);
DeleteDirectory('c:\program files\wnet');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
-
Junior Member
- Вес репутации
- 52
Карантин загружен
Файл сохранён как100428_234313_virus_4bd88fd1abaeb.zip
Размер файла626957
MD53dc8fb0a0ee1632325cf1f91584370dd
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\c3412a42.exe','');
QuarantineFile('C:\WINDOWS\system32\220ef5b0.exe','');
DeleteFile('C:\WINDOWS\system32\220ef5b0.exe');
DeleteFile('C:\WINDOWS\system32\c3412a42.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
-
Junior Member
- Вес репутации
- 52
карантин закачен
Файл сохранён как100429_221240_virus_4bd9cc18cd061.zip
Размер файла626958
MD53e0bc6b350ff75b2569a383edefa18ac
Добавлено через 14 минут
После всех проведенных лечений забастовал Касперский - теперь полная проверка на вирусы занимает пару секунд с результатом, что все ок.
Последний раз редактировалось Natatula; 29.04.2010 в 22:28.
Причина: Добавлено
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Сообщение от
thyrex
прикладываю лог
-
Удалите в МВАМ
Код:
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
удаление, указанных файлов прошло успешно. Сделала новые логи. Касперский при полной проверке на вирусы завершает работу через 2-3 секунды и сообщает, что все ок.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Сообщение от
thyrex
выполнено.
лог прикладываю
-
Выполните скрипт в AVZ
Код:
begin
QuarantineFile('c:\windows\system32\EXPAPth.exe','');
QuarantineFile('c:\windows\system32\IyrC6Li.exe','');
QuarantineFile('c:\windows\system32\MM6F7Yo.exe','');
end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
карантин закачен
Файл сохранён как100501_002835_virus_4bdb3d7349640.zip
Размер файла222706
MD59ec2ed3665acdeec1d83d243bba8b1d4