Показано с 1 по 17 из 17.

email-worm.win32.brontok.oh не лечится и не удаляется! (заявка № 97502)

  1. #1
    Junior Member Репутация
    Регистрация
    04.02.2011
    Сообщений
    7
    Вес репутации
    26

    Exclamation email-worm.win32.brontok.oh не лечится и не удаляется!

    При включении компьютера Антивирус Касперского находит email-worm.win32.brontok.oh, но вылечить файл невозможно, удаление тоже ничего не даёт - при повторном включении всё повторяется. Пожалуйста, помогите!

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,448
    Вес репутации
    730
    Алексей@,
    Внимание !!! База поcледний раз обновлялась 8/25/2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
    обновите базы AVZ и сделайте новые логи.

  4. #3

  5. #4
    Junior Member Репутация
    Регистрация
    04.02.2011
    Сообщений
    7
    Вес репутации
    26
    Да, хорошо.
    Вложения Вложения

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Выполните скрипт в AVZ:
    Код:
    begin
     QuarantineFile('C:\WINDOWS\system32\Tbar.exe','');
     QuarantineFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Refresher.exe','');
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=97502).
    I am not young enough to know everything...

  7. #6
    Junior Member Репутация
    Регистрация
    04.02.2011
    Сообщений
    7
    Вес репутации
    26
    Отправил..

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    В карантине файлы чистые.
    Больше ничего подозрительного не вижу.
    На что конкретно ругается антивирус?
    I am not young enough to know everything...

  9. #8
    Junior Member Репутация
    Регистрация
    04.02.2011
    Сообщений
    7
    Вес репутации
    26
    При включении Антивирус Касперского выдаёт сообщение следующего содержания:

    Generic Host Process for Win32 Services пытается получить доступ к вредоносному ПО.
    Обнаружен вирус:
    Email-Worm.Win32.brontok.oh
    Расположение:
    C:\Program Files\WindowsNT\Accesories\wordpad

    Дальше запрашивает, удалить или нет. (лечение невозможно)
    После удаления комп перезагружается, и всё повторяется снова.

    Ну, работе системы вирус пока вроде не мешает, но, понятное дело, очень напрягает...
    А, и ещё диспетчер задач перестал открываться.
    Последний раз редактировалось Алексей@; 06.02.2011 в 23:09.

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,448
    Вес репутации
    730
    Цитата Сообщение от Алексей@ Посмотреть сообщение
    Расположение:
    C:\Program Files\WindowsNT\Accesories\wordpad
    пришлите этот файл согласно разделу правил Приложение 2. Поиск файлов при помощи AVZ.

  11. #10
    Junior Member Репутация
    Регистрация
    04.02.2011
    Сообщений
    7
    Вес репутации
    26
    Не получается этот файл добавить в карантин. Сначала идёт добавление файла, и выдаётся сообщение, что оно завершено, но в карантине папка остаётся пустой, а в протоколе AVZ выдаётся сообщение:

    Ошибка карантина файла, попытка прямого чтения (wordpad.exe.new)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\wordpad.exe.new)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\wordpad.exe.new)
    Карантин с использованием прямого чтения - ошибка

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,448
    Вес репутации
    730
    Алексей@, файл так и называется wordpad.exe.new ?

    Сделайте лог полного сканирования МВАМ

    - Проведите процедуру, которая описана в первом сообщении тут. Результат загрузки напишите в сообщении здесь.

  13. #12
    Junior Member Репутация
    Регистрация
    04.02.2011
    Сообщений
    7
    Вес репутации
    26
    regist,
    Да, файл так и называется - wordpad.exe.new

    Лог AVZ отправил, вот данные:

    Файл сохранён как: 110208_045728_virusinfo_files_ADMIN-3D3BCBC23_4d50a308c8018.zip
    Размер файла: 41991716
    MD5: 6b8a8790afe5ab5a614d765a6ed590bf

    Лог сканирования MBAM прилагаю:

  14. #13
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,683
    Вес репутации
    3028
    Удалите в МВАМ
    Код:
    Заражённые ключи в реестре:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9D64F819-9380-8473-DAB2-702FCB3D7A3E} (Trojan.Ransom) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9D64F819-9380-8473-DAB2-702FCB3D7A3E} (Trojan.Ransom) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Target Marketing Agency (Adware.TMAagent) -> No action taken.
    
    Заражённые папки:
    c:\documents and settings\administrator\application data\winxrar (Trojan.Agent) -> No action taken.
    
    Заражённые файлы:
    c:\documents and settings\administrator\application data\winxrar\after.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\administrator\application data\winxrar\data (Trojan.Agent) -> No action taken.
    c:\documents and settings\administrator\application data\winxrar\dir.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\administrator\application data\winxrar\dot.gif (Trojan.Agent) -> No action taken.
    c:\documents and settings\administrator\application data\winxrar\htmlayout.dll (Trojan.Agent) -> No action taken.
    c:\documents and settings\administrator\application data\winxrar\key (Trojan.Agent) -> No action taken.
    c:\documents and settings\administrator\application data\winxrar\logo.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\administrator\application data\winxrar\logo2.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\administrator\application data\winxrar\myriadwebpro-condensed.ttf (Trojan.Agent) -> No action taken.
    c:\documents and settings\administrator\application data\winxrar\rules.css (Trojan.Agent) -> No action taken.
    c:\documents and settings\administrator\application data\winxrar\sb-h-scroll-next.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\administrator\application data\winxrar\sb-h-scroll-prev.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\administrator\application data\winxrar\sb-scroll-back.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\administrator\application data\winxrar\sb-scroll-base.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\administrator\application data\winxrar\sb-scroll-slider.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\administrator\application data\winxrar\sb-v-scroll-next.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\administrator\application data\winxrar\sb-v-scroll-prev.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\administrator\application data\winxrar\scroll.css (Trojan.Agent) -> No action taken.
    c:\documents and settings\administrator\application data\winxrar\sview (Trojan.Agent) -> No action taken.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,448
    Вес репутации
    730
    Цитата Сообщение от Алексей@ Посмотреть сообщение
    Не получается этот файл добавить в карантин. Сначала идёт добавление файла, и выдаётся сообщение, что оно завершено, но в карантине папка остаётся пустой, а в протоколе AVZ выдаётся сообщение:

    Ошибка карантина файла, попытка прямого чтения (wordpad.exe.new)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\wordpad.exe.new)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\wordpad.exe.new)
    Карантин с использованием прямого чтения - ошибка
    проверьте эти файлы на http://www.virustotal.com/ ссылки на результат проверки напишите здесь.

    + Сделайте новый лог сканирования MBAM.

    ------------------------

    Закройте все программы

    Отключите
    - Антивирус и Файрвол

    Выполните скрипт в АВЗ -

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('C:\WINDOWS\wordpad.exe.new','');
     QuarantineFile('C:\WINDOWS\system32\wordpad.exe.new','');
     BC_ImportALL;
     ExecuteWizard('TSW', 2, 3, true);
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    если что-нибудь попадёт в карантин, пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы.

  16. #15
    Junior Member Репутация
    Регистрация
    04.02.2011
    Сообщений
    7
    Вес репутации
    26
    Скрипт в AVZ выполнил, в карантине оказались файлы, поэтому отправил вам его.

    На сайт http://www.virustotal.com/ конечно отправил запрос, но, думаю, ждать ответа смысла нет - при загрузке файла wordpad.exe.new для отправки указан размер файла - 0 байт. Хотя на диске он занимает около 300 КБ.

    Заражённые файлы в MBAM удалил, вот новый лог:

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,448
    Вес репутации
    730
    Алексей@, деинсталлируйте все ненужные тулбары, в частности Tbar, AskBar, и т.д.

    Выполните скрипт в АВЗ -

    Код:
    begin
     ExecuteRepair(2);
     ExecuteRepair(3);
     ExecuteRepair(4);
     ExecuteWizard('TSW', 2, 3, true);
    end.
    удалите в хайджеке (после деинсталяции тулбаров могу и не быть)

    Код:
    	O2 - BHO: (no name) - {1a894269-562d-459e-b17e-efd8de428e41} - (no file)
    	O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - (no file)
    O2 - BHO: (no name) - {88888888-8888-8888-8888-888888888888} - (no file)
    O2 - BHO: script helper for ie - {9B5FB65F-631E-4564-ABF2-AD71845B28E0} - (no file)
    O2 - BHO: MS Media Module - {9D64F819-9380-8473-DAB2-702FCB3D7A3E} - (no file)
    O3 - Toolbar: (no name) - {5BCDC9E9-A980-4B53-B2E8-60CFF484DA61} - (no file)
    O3 - Toolbar: (no name) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - (no file)
    O3 - Toolbar: (no name) - {1a894269-562d-459e-b17e-efd8de428e41} - (no file)
    удалите в MBAM
    Код:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Tbar 
    c:\WINDOWS\system32\Tbar.exe 
    c:\program files\vistapack xp\Extras\tbar\Tbar.exe
    перезагрузите компьютер

    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
    + новый лог сканирования MBAM



    удалите в MBAM
    Код:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Tbar 
    c:\WINDOWS\system32\Tbar.exe 
    c:\program files\vistapack xp\Extras\tbar\Tbar.exe

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 6
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Алексей@, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Email-Worm.Win32.Brontok.q
      От Andrewad в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 25.10.2009, 09:10
    2. Email-Worm.Win32.Brontok.g
      От fine91 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 29.05.2008, 13:51
    3. Email-Worm.Win32.Brontok.g
      От fine91 в разделе Вредоносные программы
      Ответов: 3
      Последнее сообщение: 29.05.2008, 13:23
    4. Email-Worm.Win32. Brontok.q
      От Александра в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 25.11.2006, 21:20
    5. Email-Worm.Win32.Brontok.a
      От your в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 11.09.2006, 15:59

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00704 seconds with 17 queries