-
Junior Member
- Вес репутации
- 51
Вирус отключает интернет
Вчера был на заявке, как объснили мне у хозяев интернет постоянно отрубался.
Действительно после подключения к интернету вылазил процесс n8t1n61z8.exe и интернет отрубался!!!
Также постоянно сидел процесс svchost.exe - запущенный от пользователя (не системный).
В автозагрузке сидел Winlogen.exe и ещё несколько подозрительных, непомню.
Прогнал свеже-обновлённым касперским он нашёл ни все из них. Так-как svchost.exe так и остался сидеть.
Прогнал DrWeb перезагрузил, подключил интернет хотел идти брать деньги и тут бац и интернет пропал!!!
Все те файлы которые были опять есть, хотя я все подозрительные удалял и каспер ещё парочку удалил!!!
Я закинул на флешку n8t1n61z8.exe и ещё один файлик который видел каспер. Пришёл домой и запустил их. Появились следующие файлы, на которые каспер ругаеться:
F:\ROM\P-43553JIYW-8374322329-0909090987-120\sys32s.exe
d:\emea5 (e)\util\common\hpzghl07.exe
C:\DOCUME~1\KOS\LOCALS~1\Temp\Winlogen.exe
F:\WINDOWSXPSP3\WINDOWSXPSP3\WINDOWSXPSP3v3.exe
C:\ROM\P-43553JIYW-8374322329-0909090987-120\sys32s.exe
C:\DOCUME~1\KOS\LOCALS~1\Temp\Winlogen.exe
C:\Documents and Settings\KOS\n8t1n61z8.exe
Я сделал всё как написано и прикладываю логи со своего компа.
После если здесь мне помогут, буду разбираться уже с тем комп-ом.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('64KLC5K0-4OPM-00WE-AAX8-17EF1D187666');
QuarantineFile('F:\ROM\P-43553JIYW-8374322329-0909090987-120\sys32s.exe','');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('C:\ROM\P-43553JIYW-8374322329-0909090987-120\sys32s.exe','');
QuarantineFile('C:\DOCUME~1\KOS\LOCALS~1\Temp\Winlogen.exe','');
DeleteFile('C:\DOCUME~1\KOS\LOCALS~1\Temp\Winlogen.exe');
DeleteFile('C:\ROM\P-43553JIYW-8374322329-0909090987-120\sys32s.exe');
DeleteFile('F:\autorun.inf');
DeleteFile('F:\ROM\P-43553JIYW-8374322329-0909090987-120\sys32s.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\rom\p-43553jiyw-8374322329-0909090987-120\sys32s.exe - Trojan.Win32.Inject.aqvb ( DrWEB: Win32.HLLW.Autoruner.15463, BitDefender: Trojan.VB.Inject.L, AVAST4: Win32:Malware-gen )
- f:\rom\p-43553jiyw-8374322329-0909090987-120\sys32s.exe - Trojan.Win32.Inject.aqvb ( DrWEB: Win32.HLLW.Autoruner.15463, BitDefender: Trojan.VB.Inject.L, AVAST4: Win32:Malware-gen )
-