-
Junior Member
- Вес репутации
- 49
Вирус. Прошу помощи.
Здравствуйте!
ОС - WinXP SP2. Стоит Avira 9 Premium Security Suite.
Вирус похоже подхватил с флешки. Он на ней создаёт папки с названием компьютера.
При загрузке Рабочего стола после выбора пользователя Avira орет на файлы
c:\windows\system32\winlogon.exe
c:\windows\explorer.exe.
Ставит наличие TR/Patched.Gen TR/Dropped.Gen TR/Hijacked.Gen
Если explorer запретить доступ, то рабочий стол даже не загружается. Если все разрешить, то все загрузится, но появится ещё сообщение о вирусе
c:\windows\system32\nt.dll
c:\windows\system32\dllcache\explorer.exe
Судя по логам, авира фиксирует заражения каждую секунду.
Вот мои логи.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
почему логи в safe mode ? все делать в нормальном режиме !
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{51H3Y8I7-1GRQ-45DK-OOL1-32412F765456}');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
DelCLSID('{13POP6M8-1MAD-24AD-JIM1-73OP5G2223335}');
QuarantineFile('C:\RECYCLER\C-2-3-45-2345621451-2456890123-0980976520-1321\nvsctsc.exe','');
QuarantineFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
QuarantineFile('c:\windows\system32\winlogon.exe','');
QuarantineFile('c:\windows\explorer.exe','');
QuarantineFile('C:\JAMA\CRAFT\pop.exe','');
DeleteFile('C:\JAMA\CRAFT\pop.exe');
DeleteFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
DeleteFile('C:\RECYCLER\C-2-3-45-2345621451-2456890123-0980976520-1321\nvsctsc.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
Последний раз редактировалось thyrex; 12.01.2011 в 22:24.
Причина: winlogon и explorer
-