-
Junior Member
- Вес репутации
- 51
Trojan-Dropper.Win32.Agent.cosg
Что-то сидит в системе и постоянно создает статический маршрут к сайтам антивирусов.
Прошелся AVPTool, удалил Trojan-Dropper.Win32.Agent.cosg при перезагрузке. Вчера также с помощью AVPTool удалил monoca32.exe и еще несколько вирусов.
Посмотрите, есть ли что еще в системе заразного, пожалуйста.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы, выгрузите антивирус, фаерволл
Выполните в AVZ скрипт:
Код:
begin
SetAVZGuardStatus(True);
QuarantineFile('C:\thumbs.db','');
QuarantineFile('c:\windows\system32\heygnn.exe','');
DeleteFile('c:\windows\system32\heygnn.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер сам перезагрузится.
Выполните после перезагрузки такой скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'virus.zip');
end.
В папке c АВЗ сохранится virus.zip.
Пришлите его по ссылке Прислать запрошенный карантин вверху темы.
Повторите логи.
-
-
Junior Member
- Вес репутации
- 51
Файл сохранён как 100806_185556_virus_4c5c227c79c3e.zip
Размер файла 106634
MD5 a55705db7a4b1cf175e09ab579e21460
-
- Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
-
-
Сообщение от
iceb0y
статический маршрут к сайтам антивирусов
Сейчас сайты нормально открываются?
В логах чисто.
Выполните в АВЗ скрипт:
Код:
begin
DeleteFile(GetAVZDirectory + 'virus.zip');
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
end.
После этого выполните процедуру, описанную в первом сообщении:http://virusinfo.info/showthread.php?t=3519
Результат загрузки архива сообщите.
-
-
Junior Member
- Вес репутации
- 51
polword
вот логи Rsit.
polar_owl,
Сейчас нормально открываются, спасибо.
100806_211633_virusinfo_files_TOXA_4c5c43711e52b.z ip
Размер файла 7683776
MD5 5c44f8de212ffacbda7859addb78df75
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
QuarantineFile('C:\WINDOWS\system32\mssfc.dll','');
DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys');
DeleteFile('C:\WINDOWS\system32\mssfc.dll');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
QuarantineFile('C:\WINDOWS\system32\wmvkre.exe','');
DeleteFile('C:\WINDOWS\system32\wmvkre.exe');
DeleteFile('C:\Program Files\Common Files\keylog.txt');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_DeleteSvc('sfc');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог RSIT
-
-
Junior Member
- Вес репутации
- 51
polword,
Файл сохранён как 100806_215431_quarantine_4c5c4c573c067.zip
Размер файла 2313
MD5 c4c66dbe540be03b41daa5abb795b684
-
проверьте наличие файла C:\WINDOWS\System32\sfcfiles.dll, если такого нет восстановите его из дистрибутива.
в остальном чисто
Обновите систему
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- Обновите Java .
-
-
Junior Member
- Вес репутации
- 51
polword, polar_owl, спасибо, ребят.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 14
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\heygnn.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, AVAST4: Win32:Malware-gen )
-