-
Junior Member
- Вес репутации
- 51
Отчет о проделанных действиях (monoca32.exe,BAT.KillFiles.33,Trojan.WinSpy.921)
Здравствуйте. Загрузился я вчера и вот.
Лог drweb:
C:\Windows\System32\fjhdyfhsn.bat - инфицирован BAT.KillFiles.33
C:\Windows\system32\spool\PRTPROCS\W32X86\SMWinPrn .dat - инфицирован Trojan.WinSpy.921
C:\Windows\System32\fjhdyfhsn.bat – удален
C:\Windows\system32\spool\PRTPROCS\W32X86\SMWinPrn .dat – удален
После перезагрузки компа:
C:\Windows\System32\fjhdyfhsn.bat - инфицирован BAT.KillFiles.33
C:\Windows\system32\spool\PRTPROCS\W32X86\SMWinPrn .dat - инфицирован Trojan.WinSpy.921
C:\Windows\System32\fjhdyfhsn.bat – исцелен
C:\Windows\system32\spool\PRTPROCS\W32X86\SMWinPrn .dat - инфицирован Trojan.WinSpy.921 и не может быть исцелен
C:\Windows\system32\spool\PRTPROCS\W32X86\SMWinPrn .dat – удален
C:\Windows\system32\spool\PRTPROCS\W32X86\SMWinPrn .dat - инфицирован Trojan.WinSpy.921
C:\Windows\system32\spool\PRTPROCS\W32X86\SMWinPrn .dat - перемещен как 'C:\Program Files\DrWeb\infected.!!!\SMWinPrn.dat.1745D6AF'
C:\Users\User\AppData\Local\Temp\DBA2.sys - инфицирован Trojan.WinSpy.921
C:\Users\User\AppData\Local\Temp\DBA2.sys - перемещен как 'C:\Program Files\DrWeb\infected.!!!\DBA2.sys.5B5506CA'
После чего в автозагрузке обнаружил monoca32.exe
Фиксил в HijackThis:
O4 - Startup: monoca32.exe
Процесс из автозагрузки пропал, svchost проц грузить перестал, браузер заработал
Выполнил скрипт в АВЗ:
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\monoca32.exe','');
QuarantineFile('C:\Temp\kmhrf.exe','');
QuarantineFile('C:\Temp\eanebqn.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
DeleteFile('C:\Temp\eanebqn.exe');
DeleteFile('C:\Temp\kmhrf.exe');
DeleteFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\monoca32.exe');
DeleteFile('C:\WINDOWS\Tasks\Windows Update.job');
DeleteFile('C:\WINDOWS\Tasks\WindowsCheck.job');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
Затем:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine .zip');
end.
Теперь мне нужно прислать файл quarantine.zip из папки AVZ?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
скрипт сами писали? Там имена файлов надо подправлять, елси писали не по логам.
Да, присылайте+ комплект логов.
В след. раз набирайте сообщение прямо в форуме, очень трудно его подправлять
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 51
Нет, скрипт взял в аналогичной теме. Теперь понял, что это была ошибка.
-
ProxyServer = http=127.0.0.1:2080 вы настраивали?
Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
end.
Установите Windows Vista SP2: http://www.microsoft.com/downloads/d...6-074800c55bc3
-
-
Junior Member
- Вес репутации
- 51
Да прокси я использую.. скрипт выполнил, а вот в паке 2 смысла не вижу
Можно ламерский вопрос? Архив quarantine.zip АВЗ запаролил потому что там вирусы? Не дошли руки еще толком с АВЗ познакомиться. Спасибо.
-
AVZ ставит пароль на архив карантина всегда. Иначе, этот архив по дороге может быть удалён каким-нибудь фильтром.
Сообщение от
outsider3
в паке 2 смысла не вижу
Менее чем через год, Windows Vista Service Pack 1 отправиться на свалку истории.
http://support.microsoft.com/lifecycle/?p1=12534
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\program files\internet explorer\setupapi.dll - Trojan.Win32.BHO.ajcb ( DrWEB: Trojan.Siggen2.353, BitDefender: Trojan.BHO.Agent.BY )
-