-
Junior Member
- Вес репутации
- 51
Win32:VB-OWZ Avast не может справится
Avast находит ехе-файлы заражённые Win32:VB-OWZ.
файлы появляются в system32 называются например 47.ехе 3.ехе тоесть число точка ехе
либо
файлы c именем apache[1].exe появляются в
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\
с использованием index.dat находящегося тамже. в нем перечислены имена 4х папок которые создаются в этой папке а затем туда помещается инфецированный файл.
после запуска combofix зараженные ехе-шки стали появляться в папке Temp но имена образуются из 3х значных чисел
как с ним бороться!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
а логи по правилам можно?
-
-
Junior Member
- Вес репутации
- 51
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\msvmcls64.exe');
TerminateProcessByName('c:\windows\cidrive32.exe');
QuarantineFile('C:\RECYCLER\S-1-5-21-0671883064-1154352376-698558111-5243\syscr.exe','');
QuarantineFile('c:\windows\system32\msvmcls64.exe','');
QuarantineFile('c:\windows\cidrive32.exe','');
DeleteFile('c:\windows\cidrive32.exe');
DeleteFile('c:\windows\system32\msvmcls64.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0671883064-1154352376-698558111-5243\syscr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MS Virtual CLS');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Обновите базы AVZ
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Карантин отправил
Файл сохранён как 100430_170941_virus_4bdad6954066d.zip
Размер файла 134003
MD5 05b27c1ca720f396c435e0b407c68bc5
-
Плохого не видно, что с проблемой?
-
-
Junior Member
- Вес репутации
- 51
было всё хорошо, сейчас к компу подошёл опять те же симптомы, имена файлов именяются
-
Platform: Windows XP SP2 (WinNT 5.01.2600)
Проблема в дырявости системы.
Давайте новые логи
-
-
Junior Member
- Вес репутации
- 51
поставил sp3)
при загрузке компа explorer.exe ошибку выдает..
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\36.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-7480930237-1354067596-410863213-1506\syscr.exe','');
QuarantineFile('C:\WINDOWS\system32\scdll.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-7480930237-1354067596-410863213-1506\syscr.exe');
DeleteFile('C:\WINDOWS\system32\scdll.exe');
DeleteFile('C:\WINDOWS\system32\36.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','46');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + лог http://virusinfo.info/showpost.php?p=493610&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
всё сделал.
Проблем не видно
какие ещё рекомендации по защите компа можете дать?
не хотелось бы от аваста отказываться - он бесплатный)
добавить файрвол?
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\RECYCLER\S-1-5-21-0871288506-4486636328-999947471-3978\syscr.exe');
DeleteFile('C:\WINDOWS\system32\12.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Еще раз логи AVZ сделайте
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Вирусы ещё появлялись..
поставил outpost firewall всё почистил
кажется проблема решена)
-
Плохого не видно
Удалите ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 12
- В ходе лечения обнаружены вредоносные программы:
- c:\recycler\s-1-5-21-0671883064-1154352376-698558111-5243\syscr.exe - P2P-Worm.Win32.Palevo.acsa ( AVAST4: Win32:VB-OWZ [Drp] )
- c:\recycler\s-1-5-21-7480930237-1354067596-410863213-1506\syscr.exe - Trojan.Win32.VBKrypt.ol ( DrWEB: Trojan.DownLoad.35732, AVAST4: Win32:Malware-gen )
- c:\windows\system32\scdll.exe - Worm.Win32.AutoRun.bgtf ( DrWEB: Trojan.Click.50748, AVAST4: Win32:Trojan-gen )
- c:\windows\system32\36.exe - Trojan.Win32.VBKrypt.ol ( DrWEB: Trojan.DownLoad.35732, AVAST4: Win32:Malware-gen )
-