-
Junior Member
- Вес репутации
- 48
Похоже на msblast, но не он
Здравствуйте эксперты.
В безопасном режиме запускается винда, выполнил AVP Tools - нашел кучу вирусов, что то удалил. Пробую запустится в обычном режиме,вылазит окошко типа как у старого виря msblast, говорит что то об RPC и комп через минуту перегружается. И еще выскакивают окна об ошибки в приложениях dwwin.exe и drwatson жму ок, а они выскакивают снова и снова.
Выполнил в безопасном режиме AVZ и HIJACK - файлы прилагаю.
Надеюсь на помощь.
Последний раз редактировалось Bratez; 15.02.2011 в 09:59.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Читайте внимательно в правилах, какие именно файлы следует прикреплять!
Добавлено через 3 минуты
Сообщение от
slade
типа как у старого виря msblast
Да, явление действительно аналогичное, и причина та же самая - дыры в системе из-за отсутствия необходимых обновлений:
Platform: Windows
XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Последний раз редактировалось Bratez; 15.02.2011 в 10:02.
Причина: Добавлено
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 48
Да, сорри, ошибся.
Вот правльный файл.
-
В AVZ выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Programme\Medion\Uninstall_all.exe','');
QuarantineFile('C:\Programme\Microsoft Works\wkplmstp.exe','');
QuarantineFile('C:\WINDOWS\SoftwareDistribution\Download\a746b2abbbec3e139e29152ba22decd1\tdc.ocx','');
QuarantineFile('c:\dokumente und einstellungen\michael\anwendungsdaten\46899\mscj.exe','');
QuarantineFile('C:\Recycle.Bin\Recycle.Bin.exe','');
DeleteFile('C:\Recycle.Bin\Recycle.Bin.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Recycle.Bin.exe');
DeleteFile('c:\dokumente und einstellungen\michael\anwendungsdaten\46899\mscj.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','mscj');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
Логи повторите в обычном режиме
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 48
Спасибо!!
Немного похоже на чудо, после скрипта винда запустилась в нормальном режиме.
Вот файлы, а карантин отправил по ссылке
-
Заразы в логах больше не видно.
Для зачистки мусора в реестре, выполните скрипт в AVZ:
Код:
begin
DeleteFile('C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl');
DeleteFile('C:\Programme\Avira\AntiVir PersonalEdition Classic\guardevt.dll');
DeleteFile('C:\Programme\Microsoft Works\WkDetect.exe');
DeleteFile('C:\WINDOWS\PixArt\PAC7302\Monitor.exe');
DeleteFile('C:\WINDOWS\System32\drivers\avipbb.sys');
DeleteFile('C:\WINDOWS\System32\drivers\dwprot.sys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\avgntdd.sys');
DeleteFile('D:\375e91889cca4d8a900fab9ad95c86e4\DW\DW20.exe');
ExecuteSysClean;
end.
Ставьте SP3 и последующие обновления.
(Может потребоваться повторная активация Windows).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 48
Зачистку провел, обновление установил, полет нормальный
Спасибо за помощь!
Webmany для сайта с меня
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 15
- В ходе лечения обнаружены вредоносные программы:
- c:\\dokumente und einstellungen\\michael\\anwendungsdaten\\46899\\ms cj.exe - Trojan.Win32.Vilsel.axxm ( DrWEB: Trojan.PWS.Siggen.15273, BitDefender: Trojan.Generic.5439848, AVAST4: Win32:Downloader-FJJ [Trj] )
- c:\\recycle.bin\\recycle.bin.exe - Trojan-Spy.Win32.SpyEyes.fcf ( DrWEB: Trojan.PWS.SpySweep.42, BitDefender: Trojan.Generic.5878507, AVAST4: Win32:Rootkit-gen [Rtk] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-