Показано с 1 по 10 из 10.

aec.sys инфицирован (заявка № 77932)

  1. #1
    Junior Member Репутация
    Регистрация
    05.09.2008
    Сообщений
    64
    Вес репутации
    35

    Exclamation aec.sys инфицирован

    Прошу помочь.
    При переходе по ссылке в интернете ДрВеб выдал "D:\WINDOWS\system32\drivers\aec.sys инфицирован Trojan.NtRootKit.7240". Файл не лечился и был перемещен в карантин. По указаному пути создался файл aec.sys.bak. Удалился файл explorer.exe.
    Посмотрите логи.
    Нужно ли восстанавливать файл aec.sys?

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.09.2009
    Сообщений
    619
    Вес репутации
    138
    Закройте все программы, выгрузите антивирус, фаерволл

    Выполните в AVZ скрипт:
    Код:
    begin
    SearchRootkit(true, true);
     QuarantineFile('Vklmon.dll','');
     QuarantineFile('D:\WINDOWS\system32\goalvc.dll','');
     QuarantineFile('D:\WINDOWS\system32\drwat32.exe','');
     QuarantineFile('D:\WINDOWS\system32\GoalExpMJPEG.dll','');
     QuarantineFile('D:\SF9\PROGRAM\PICPRTR.EXE','');
     QuarantineFile('D:\DOCUME~1\trend\LOCALS~1\Temp\qevyu.tmp 2nCCPGNHED','');
     QuarantineFile('D:\DOCUME~1\trend\LOCALS~1\Temp\qevyu.tmp','');
     QuarantineFile('D:\Documents and Settings\trend\Главное меню\Программы\Автозагрузка\wwwzuc32.exe','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер сам перезагрузится.
    Выполните после перезагрузки такой скрипт:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'virus.zip');
    end.
    В папке c АВЗ сохранится virus.zip.
    Пришлите его по ссылке Прислать запрошенный карантин вверху темы.

    AEC.SYS – это драйвер подавления акустического эха. Так что, думаю, желательно.
    А вообще, нужно бы
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    как-то обновить...

  4. #3
    Junior Member Репутация
    Регистрация
    05.09.2008
    Сообщений
    64
    Вес репутации
    35
    Благодарю за помощь polar_owl. Карантин выслал.
    Прошу ответить, нужно ли удалять все это?

    QuarantineFile('Vklmon.dll','');
    QuarantineFile('D:\WINDOWS\system32\goalvc.dll','' );
    QuarantineFile('D:\WINDOWS\system32\drwat32.exe',' ');
    QuarantineFile('D:\WINDOWS\system32\GoalExpMJPEG.d ll','');
    QuarantineFile('D:\SF9\PROGRAM\PICPRTR.EXE','');
    QuarantineFile('D:\DOCUME~1\trend\LOCALS~1\Temp\qe vyu.tmp 2nCCPGNHED','');
    QuarantineFile('D:\DOCUME~1\trend\LOCALS~1\Temp\qe vyu.tmp','');
    QuarantineFile('D:\Documents and Settings\trend\Главное меню\Программы\Автозагрузка\wwwzuc32.exe','');

  5. #4

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,691
    Вес репутации
    3028
    Пофиксите в HiJack
    Код:
    O20 - AppInit_DLLs: winmm.dll
    O20 - Winlogon Notify: WinCtrl32 - Invalid registry found
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('D:\DOCUME~1\trend\LOCALS~1\Temp\qevyu.tmp');
     DeleteFile('D:\Documents and Settings\trend\Главное меню\Программы\Автозагрузка\wwwzuc32.exe');
     DeleteFile('D:\WINDOWS\system32\drwat32.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','midi9');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    D:\WINDOWS\system32\drivers\aec.sys.bak запакуйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы

    Один из вирусов, который у Вас был, занимался кражей паролей. Настоятельно рекомендуется сменить все пароли

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    05.09.2008
    Сообщений
    64
    Вес репутации
    35
    Спасибо за помощь thyrex. Выложил логи и карантин. Пара вопросов.
    1. Нужно ли удалить D:\WINDOWS\system32\drivers\aec.sys.bak, и скопировать aec.sys из другой системы?
    2. Вирус, который крадет пароли, был связан с этим сообщением ДрВеб
    "D:\WINDOWS\system32\drivers\aec.sys инфицирован Trojan.NtRootKit.7240" или он давно у меня сидел?

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,691
    Вес репутации
    3028
    Вирус, ворующий пароли, никак не связан с сообщением DrWeb

    Присланный Вами файл тоже чист по тому же DrWeb. Базы антивируса давно обновляли?

    В логах не видно ничего плохого
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    05.09.2008
    Сообщений
    64
    Вес репутации
    35
    Спасибо за ответ, thyrex. Базу антивируса обновил перед проверкой по Правилам. Щас буду все пароли менять.
    А на счет aec.sys.bak - стоит его удалять и восстанавливать aec.sys?

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,691
    Вес репутации
    3028
    Лучше восстановите с дистрибутива
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 21
    • В ходе лечения обнаружены вредоносные программы:
      1. d:\documents and settings\trend\главное меню\программы\автозагрузка\wwwzuc32.exe - Worm.Win32.Bezopi.zs ( DrWEB: Trojan.Packed.20154, AVAST4: Win32:Rootkit-gen [Rtk] )
      2. d:\windows\system32\drwat32.exe - Trojan-Spy.Win32.BZub.htx ( BitDefender: Gen:Variant.Zbot.11 )

    Рекомендации:
    1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !


  • Уважаемый(ая) zoneclear, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Возможно инфицирован
      От killro0000 в разделе Помогите!
      Ответов: 18
      Последнее сообщение: 17.04.2011, 23:50
    2. Ответов: 37
      Последнее сообщение: 11.06.2010, 17:23
    3. Ноут инфицирован
      От GRomaN в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 10.12.2009, 23:15
    4. Инфицирован.
      От Same в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.10.2009, 18:52
    5. инфицирован BackDoor.IRC.Bot.132
      От Len_bars в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 20.09.2009, 20:42

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01260 seconds with 16 queries