-
Junior Member
- Вес репутации
- 62
Троянец
Авира периодически ловит что то. Сообщение такое: В файле 'C:\Windows\System32\config\systemprofile\Applicat ion Data\ACD Systems\ACDSee\Imageaa.ddf'
был обнаружен вирус или вредоносная программа 'TR/PSW.Bjlog.ecy.2' [trojan].
Помогите разобраться, пожалуйста.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\system32\glrxd.dll','');
QuarantineFile('C:\Windows\system32\hyjwj.dll','');
DeleteService('panp');
DeleteService('Sun Java 6.5 Service jdk');
QuarantineFile('C:\Users\ibdarb\AppData\Local\Temp\130D93E.tmp','');
DeleteFile('C:\Windows\TEMP\pp.exe');
DeleteFile('C:\Windows\system32\panp.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
-
-
Junior Member
- Вес репутации
- 62
Карантин закачал, логи обновил
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 62
-
Восстановление системы: включено
Отключите.
Удалите в mbam
Код:
Заражённые ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Comias5 (Trojan.Backdoor) -> No action taken.
Сделайте новый лог mbam
-
-
Junior Member
- Вес репутации
- 62
Восстановление было отключено согласно рекомендациям приложения 1 правил. Если есть возможность сделать по другому, пожалуйста, сообщите как.
-
Если отключали согласно рекомендациям, то все нормально, AVZ на Висте и Win7 в этом вопросе ошибается.
Активной заразы в логах не видно.
Для зачистки мусора в реестре выполните скрипт в AVZ:
Код:
begin
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\ias\Parameters','ServiceDll');
BC_DeleteSvcReg('JAVA 6.5 Servcie');
BC_DeleteSvcReg('CLTNetCnService');
BC_DeleteSvcReg('glrxd');
BC_DeleteSvcReg('360sd');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки повторите лог virusinfo_syscheck.
Последний раз редактировалось Bratez; 01.12.2010 в 16:44.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 62
-
Что-то не совсем чисто получилось.
И еще кое-что проверим на всякий случай.
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Windows\ntshrui.dll','');
QuarantineFile('C:\Users\ibdarb\AppData\Local\Temp\130B598.tmp','');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\glrxd\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\360sd\Parameters','ServiceDll');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=92711).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 62
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Windows\ntshrui.dll');
DeleteFileMask('C:\Users\ibdarb\AppData\Local\Temp', '*.*',true);
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 62
-
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 62
Большое спасибо! Очень признателен за профессиональную помощь!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 13
- В ходе лечения обнаружены вредоносные программы:
- c:\\users\\ibdarb\\appdata\\local\\temp\\130b598.t mp - Trojan-Dropper.Win32.Agent.dqnp ( DrWEB: Trojan.Siggen.48386, BitDefender: Gen:Variant.Buzy.6, NOD32: Win32/Agent.OTB trojan, AVAST4: Win32:Malware-gen )
- c:\\users\\ibdarb\\appdata\\local\\temp\\130d93e.t mp - Trojan-Dropper.Win32.Agent.dqnp ( DrWEB: Trojan.Siggen.48386, BitDefender: Gen:Variant.Buzy.6, NOD32: Win32/Agent.OTB trojan, AVAST4: Win32:Malware-gen )
- c:\\windows\\ntshrui.dll - Trojan-Dropper.Win32.Agent.dqnp ( DrWEB: Trojan.Siggen.48386, BitDefender: Gen:Variant.Buzy.6, NOD32: Win32/Agent.OTB trojan, AVAST4: Win32:Malware-gen )
-