Данный вирус прикрутился к IE, обновил Каспера, вирус ушел, но хотелось бы точно знать, есть остатки вируса в системе или нет.
Прошу Вас глянуть логи
Данный вирус прикрутился к IE, обновил Каспера, вирус ушел, но хотелось бы точно знать, есть остатки вируса в системе или нет.
Прошу Вас глянуть логи
Последний раз редактировалось akalibr; 05.12.2010 в 08:41.
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\Documents and Settings\Александр\Local Settings\Temp\om21.tmp',''); DeleteFile('C:\Documents and Settings\Александр\Local Settings\Temp\om21.tmp'); QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS',''); DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки:
- выполните такой скрипт
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте лог полного сканирования МВАМ
карантин залил, время логов...
... а вот и лог
Последний раз редактировалось akalibr; 05.12.2010 в 08:41.
запустил полную проверку каспером, он удалил C:\WINDOWS\system32\sfcfiles.dll, значит mbam не ошибся
Удалите в МВАМ -
Закройте все программыКод:Зараженные параметры в реестре: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\forceclassiccontrolpanel (Hijack.ControlPanelStyle) -> No action taken.
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); if FileExists('C:\WINDOWS\System32\dllcache\sfcfiles.dll')then begin RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak'); CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll'); QuarantineFile('C:\WINDOWS\System32\sfcfiles.bak',''); DeleteFile('C:\WINDOWS\System32\sfcfiles.bak'); end else AddToLog('dllcache\sfcfiles.dll does not exist'); SaveLog(GetAVZDirectory + 'avz.log'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Файл avz.log из папки с АВЗ прикрепите к следующему сообщению
вот лог, прошу посмотреть
Последний раз редактировалось akalibr; 05.12.2010 в 08:41.
Повторите лог МВАМ
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 44
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\all users\\application data\\hhhhwwwwwwc.exe - Trojan-Ransom.Win32.PornoAsset.us ( DrWEB: Trojan.Winlock.3585, BitDefender: Trojan.Generic.6134898, AVAST4: Win32:MalOb-IJ [Cryp] )
- c:\\documents and settings\\all users\\application data\\llaaaaaaaaq.exe - Trojan-Ransom.Win32.PornoAsset.fz ( DrWEB: Trojan.Winlock.3445, BitDefender: Trojan.Generic.KDV.233244, NOD32: Win32/LockScreen.AGD trojan, AVAST4: Win32:Kryptik-ENN [Trj] )
- c:\\documents and settings\\all users\\application data\\22cc6c32.exe - Trojan-Ransom.Win32.PornoAsset.us ( DrWEB: Trojan.Winlock.3585, BitDefender: Trojan.Generic.6134898, AVAST4: Win32:MalOb-IJ [Cryp] )
- c:\\documents and settings\\lilifart\\application data\\b2_res.exe - Trojan.Win32.Lebag.cyn ( DrWEB: Trojan.Inject.43613, BitDefender: Gen:Heur.FKP.1, AVAST4: Win32:Malware-gen )
- c:\\documents and settings\\lilifart\\application data\\netprotdrvss - Trojan-Dropper.Win32.Dapato.sh ( DrWEB: BackDoor.Butirat.20, BitDefender: Trojan.Generic.6140330, AVAST4: Win32:Buterat-X [Trj] )
- c:\\documents and settings\\lilifart\\application data\\netprotocol.exe - Trojan-Dropper.Win32.Dapato.sh ( DrWEB: BackDoor.Butirat.20, BitDefender: Trojan.Generic.6140330, AVAST4: Win32:Buterat-X [Trj] )
- c:\\documents and settings\\lilifart\\application data\\sun\\java\\deployment\\cache\\6.0\\61\\1ba75 b7d-43c686fb - Backdoor.Win32.Buterat.bci ( DrWEB: BackDoor.Butirat.18, BitDefender: Trojan.Generic.6143838, NOD32: Win32/TrojanClicker.Agent.NII trojan, AVAST4: Win32:Buterat-N [Trj] )
- c:\\documents and settings\\lilifart\\local settings\\temporary internet files\\content.ie5\\djgunjfx\\codi[1].exe - Trojan-Ransom.Win32.PornoAsset.us ( DrWEB: Trojan.Winlock.3585, BitDefender: Trojan.Generic.6134898, AVAST4: Win32:MalOb-IJ [Cryp] )
- c:\\documents and settings\\lilifart\\local settings\\temp\\0.24237920371632704.exe - Backdoor.Win32.Buterat.bci ( DrWEB: BackDoor.Butirat.18, BitDefender: Trojan.Generic.6143838, NOD32: Win32/TrojanClicker.Agent.NII trojan, AVAST4: Win32:Buterat-N [Trj] )
- c:\\windows\\system32\\conime32.exe - Trojan.Win32.Lebag.cyn ( DrWEB: Trojan.Inject.43613, BitDefender: Gen:Heur.FKP.1, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\dllcache\\userinit.exe - Trojan-Ransom.Win32.PornoAsset.us ( DrWEB: Trojan.Winlock.3585, BitDefender: Trojan.Generic.6134898, AVAST4: Win32:MalOb-IJ [Cryp] )
- c:\\windows\\system32\\userinit.exe - Trojan-Ransom.Win32.PornoAsset.us ( DrWEB: Trojan.Winlock.3585, BitDefender: Trojan.Generic.6134898, AVAST4: Win32:MalOb-IJ [Cryp] )
Уважаемый(ая) akalibr, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.