-
Junior Member
- Вес репутации
- 49
Блокиратор Windows
Поймал блокиратор Windows, с которым самостоятельно справиться не получилось: полная проверка CureIt показала пару троянов, но от блокиратора не избавила. Он убился сам вводом кода svipper, спасибо сайту д-ра Веба
В списке процессов при старте системы образуются net.exe, net1.exe, netprotocol.exe, puos.exe, которые приходится убивать (причем puos убиваться почти всегда отказывается) руками.
Хотелось бы полностью вывести всю дрянь с машины.
Спасибо за помощь.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Gr\Application Data\netprotocol.exe','');
SetServiceStart('mkdrv', 4);
DeleteService('mkdrv');
QuarantineFile('C:\WINDOWS\system32\MsPMSPSv.exe','');
QuarantineFile('C:\WINDOWS\dasf.sys','');
DeleteFile('C:\WINDOWS\dasf.sys');
DeleteFile('C:\Documents and Settings\Gr\Application Data\netprotocol.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Netprotocol');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 49
Последний раз редактировалось dgr; 13.12.2010 в 09:15.
Причина: удаление вложения
-
- virus.zip - удалите из темы
Сообщение от
thyrex
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Что с проблемой?
-
-
Junior Member
- Вес репутации
- 49
Сообщение от
polword
- virus.zip - удалите из темы
Что с проблемой?
Процессы net и net1 появляются при старте системы, но сразу исчезают.
Снова стал обновляться антивирус, что есть хорошо
Ставлю полную проверку антивирусом еще раз.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 49
Антивирус отключал, как умел, но ComboFix все равно его где-то узрел.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 49
Процессы net и net1 по-прежнему в системе; только что заметил какой-то " wowclient", хотя никакого wow'а не было и нет.
-
Сделайте лог MBAM
Выполните в AVZ скрипт из файла ScanVuln.txt и приложите к этой теме файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 49
net'ы все еще в системе.
рекомендации ScanVuln выполнил, запустил его еще раз, он сказал, что скрипт выполнен без ошибок, и нового лога не создал.
-
Удалите в mbam:
Код:
Заражённые параметры в реестре:
HKEY_CURRENT_USER\Software\Microsoft\idln2 (Malware.Trace) -> Value: idln2 -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\bk (Malware.Trace) -> Value: bk -> No action taken.
Заражённые файлы:
c:\documents and settings\Gr\application data\fieryads.dat (Adware.FieryAds) -> No action taken.
c:\documents and settings\Kate\application data\fieryads.dat (Adware.FieryAds) -> No action taken.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 49
Сделано.
Net'ы все еще в системе (после перезагрузки). Живучие, гады =)
-
В AVZ - Сервис - Поиск файлов на диске - поищете эти злополучные файлы net.exe, net1.exe. Что найдете добавьте в карантин AVZ и пришлите по правилам.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 49
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\net1.exe)
Карантин с использованием прямого чтения - ошибка
и так со всеми.
можно прислать сами *.exe-шники?
-
Пришлите файлы запакованным в архив ZIP с паролем: virus по ссылке Прислать запрошенный карантин вверху темы
-
-
Junior Member
- Вес репутации
- 49
Файл сохранён как 101217_085312_virus_4d0afac84ff07.zip
Размер файла 86811
MD5 062a6eb24d72ec7462e234fd33355e5d
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Это файлы от операционной системы с подписью микрософта.
http://www.file.net/process/net.exe.html
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 49