Подозрительная запись после проверки:
Обратите внимание - нестандартный диспетчер задач "E:\RECYCLER\S-1-5-21-5676094071-4815714636-821230332-5665\nissan.exe"
Подозрительная запись после проверки:
Обратите внимание - нестандартный диспетчер задач "E:\RECYCLER\S-1-5-21-5676094071-4815714636-821230332-5665\nissan.exe"
Пофиксите в Hijackthis:Отключите компьютер от интернета, а также антивирус и/или файрвол.Код:O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file) O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
Закройте все программы, выполните скрипт в AVZ:После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правиламКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('E:\WINDOWS\system32\PL15Co2K.exe',''); QuarantineFile('E:\RECYCLER\S-1-5-21-5676094071-4815714636-821230332-5665\nissan.exe',''); QuarantineFile('E:\WINDOWS\system32\Drivers\bhound7.sys',''); QuarantineFile('1187587320.exe',''); QuarantineFile('1186748417.exe',''); QuarantineFile('1.exe',''); DeleteFile('E:\RECYCLER\S-1-5-21-5676094071-4815714636-821230332-5665\nissan.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Готово.
кстати файлпроверил здесь: http://www.virustotal.com/ru/ - чистый, это драйвер от BusHoundКод:E:\WINDOWS\system32\Drivers\bhound7.sys
Карантин загрузил...
... как написано в руководстве не получилось, поэтому просто заархивировал папку Quarantine из AVZ.
Запустите AVZ. Выполните скрипт через меню Файл:
Проблема решена?Код:begin RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\WOW\boot','ERR_MFP30'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\WOW\boot','INS_MFP30'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\WOW\boot','RUN_MFP30'); end.
В общем да, спасибо.
так был там руткит?
Были следы трояна. Судя по имени файла, распространяющегося по сети и через флешки. И ещё пара следов неизвестно чего.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 14
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Tarrok, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.