-
Junior Member
- Вес репутации
- 52
Последствия sisgdi32.exe, netprotocol.exe
после открытия нескольких вэб-страниц Нод32 ругнулся на какого-то трояна. я не обратил на это особого внимания. выключил комп. на следующий день у меня не стал запускаться нод32 и перестало пускать на сайты связанные с антивирусниками. После чего решил просканировать утилитой dr.web cureit. утилита выловила два файла sisgdi32.exe, netprotocol.exe. AVZ можно запустить только через батовский файл где прописано avz.exe AG=Y AM=Y. При просмотре карантина слева не выдает никаких файлов. HijackThis - же не запускается ни с оригинальным названием ни уже переименованный. точнее он запускается и сразу выключается.
выкладываю логи в сообщении так как не получилось заархивировать через AVZ
Вложение 265048
Вложение 265049
Последний раз редактировалось vladlen; 28.08.2010 в 15:58.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\netprotdrvss','');
QuarantineFile('\\?\globalroot\systemroot\system32\IanzDWn.exe','');
QuarantineFile('C:\WINDOWS\system32\djbqbe.exe','');
QuarantineFile('C:\WINDOWS\system32\4d901ddd.exe','');
QuarantineFile('C:\Documents and Settings\Алёша\Главное меню\Программы\Автозагрузка\sisgbi32.exe','');
DeleteFile('C:\Documents and Settings\Алёша\Главное меню\Программы\Автозагрузка\sisgbi32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
DeleteFile('C:\WINDOWS\system32\4d901ddd.exe');
DeleteFile('C:\WINDOWS\system32\djbqbe.exe');
DeleteFile('\\?\globalroot\systemroot\system32\IanzDWn.exe');
DeleteFile('C:\WINDOWS\system32\netprotdrvss');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=86621).
Сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 52
Bratez, благодарю за помощь, все заработало. проверить на всяк случай dr.web cureit? а?
выкладываю новые логи.
Вложение 265127
Вложение 265128
Вложение 265129
-
Активной заразы больше не видно, но CureIt'ом можно и проверить, не помешает.
I am not young enough to know everything...
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 14
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\алёша\\главное меню\\программы\\автозагрузка\\sisgbi32.exe - Trojan.Win32.VB.ajzr ( DrWEB: Trojan.Botnetlog.518, BitDefender: Trojan.Generic.4804659, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\djbqbe.exe - Packed.Win32.Krap.hr ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Heur.FKP.1, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-DS [Cryp] )
- c:\\windows\\system32\\netprotdrvss - Trojan-Spy.Win32.SpyEyes.wp ( DrWEB: BackDoor.Butirat.7, BitDefender: Gen:Variant.Kazy.8, AVAST4: Win32:Zbot-MVR [Trj] )
- c:\\windows\\system32\\4d901ddd.exe - Packed.Win32.Krap.hr ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Heur.FKP.1, AVAST4: Win32:MalOb-DS [Cryp] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-
