-
Junior Member
- Вес репутации
- 49
Security Tool pop-up windows
Сразу же после загрузки системы (Win XP SP2) появляются окошки вируса Secyrity Tool, который активно изображает из себя антивирусник.
Читал, что я такой не один - файл _ex-08.exe я нашел и в safe mode удалил из autorun, а потом и из каталога C:\Windows\Temp; а второй файл с именем из 8 цифирей найти не смог, соответственно после перезагрузки в нормальном режиме вся радость начинается заново.
Пока был в safe mode проделал операции, рекомендованные на pravila.html и собрал логи, которые и посылаю.
Помогите, пожалуйста!
Последний раз редактировалось aznamer; 01.12.2010 в 23:53.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите в HijackThis:
Код:
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O4 - HKCU\..\RunOnce: [29222119] "C:\Documents and Settings\Natasha\Local Settings\Application Data\29222119.exe" 0 25
O4 - Startup: setup_9.0.0.722_30.11.2010_22-18.lnk = C:\Documents and Settings\Natasha\Desktop\Virus Removal Tool\setup_9.0.0.722_30.11.2010_22-18\startup.exe
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\Documents and Settings\Natasha\Local Settings\Application Data\29222119.exe','');
DeleteFile('C:\Documents and Settings\Natasha\Local Settings\Application Data\29222119.exe');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=92743).
Сделайте новые логи, по возможности в нормальном режиме.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 49
Спасибо!
Выполнил указанные действия, новые логи загрузил.
Пока, тьфу-тьфу, зараза никак себя не выдает, надеюсь, убита она!
Хоцца верить, анализ логов это подтвердит
Спасибо еще раз!
-
Сообщение от
Bratez
Сделайте новые логи, по возможности в нормальном режиме.
логов нет....
-
-
Junior Member
- Вес репутации
- 49
хм... странно, аплоадил по предоставленной ссылке
Лана, аттачу сюда
Последний раз редактировалось Bratez; 02.12.2010 в 02:51.
Причина: убрал вложение
-
По той ссылке загружают карантин, а логи нужно "аттачить сюда"
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 49
извините, что перепутал логи и карантин.
Ситуация такая, счастье было коротким.
Сначала показалось подозрительным, что семантек не обновляет свою базу, говорит, что и так хорошо (проверил с другого компа - все обновляется), потом при перезагрузках стало появляться сообщение, что один из процессов не может закрыться сам (что-то про members).
А через пару часов Security Tool вылез обратно
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\natasha\\local settings\\application data\\29222119.exe - Trojan.Win32.FakeAV.vnc ( DrWEB: Trojan.Fakealert.19447, BitDefender: Trojan.Generic.KDV.76839, NOD32: Win32/Adware.SecurityTool.AD application, AVAST4: Win32:MalOb-FX [Cryp] )
- c:\\windows\\system32\\sdra64.exe - Trojan-Spy.Win32.Zbot.ayou ( DrWEB: Trojan.Siggen2.10382, BitDefender: Gen:Variant.Rimecud.2, AVAST4: Win32:Malware-gen )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-