-
Junior Member
- Вес репутации
- 52
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте.
Отключите:
-ПК от интернета
-Все защитные приложения
-Восстановление системы
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\System32\Drivers\meiudf.sys','');
QuarantineFile('C:\Documents and Settings\Com\Local Settings\Temporary Internet Files\Content.IE5\L1N24CSA\Install_Flash-Player[1].exe','');
DeleteFile('C:\Documents and Settings\Com\Local Settings\Temporary Internet Files\Content.IE5\L1N24CSA\Install_Flash-Player[1].exe');
DeleteFile('C:\WINDOWS\Tasks\flqfvmgigc.job');
DeleteFile('C:\WINDOWS\Tasks\hgfrqbmrvvpm.job');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Затем выполните ещё один скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).
Сделайте повторные логи в нормальном режиме.
-
-
Junior Member
- Вес репутации
- 52
Карантин закачал.
Файл сохранён как 110325_120213_quarantine_4d8c844507351.zip
-
Junior Member
- Вес репутации
- 52
Новые логи
Во время проверки и привыключении компа вываливались сообщения от svchost о невозможности записи по адресам памяти.
Последний раз редактировалось vgm; 28.03.2011 в 20:03.
-
Кое-что осталось.
Отключите:
-ПК от интернета
-Все защитные приложения
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
BC_DeleteFile('C:\Documents and Settings\Com\Local Settings\Temporary Internet Files\Content.IE5\L1N24CSA\Install_Flash-Player[1].exe');
DeleteFile('C:\WINDOWS\Tasks\rszoytbb.job');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте повторные логи.
-
-
Junior Member
- Вес репутации
- 52
Вот новые файлы. Проблемы с svchost и wuauclt во время сканирования остались.
Последний раз редактировалось vgm; 28.03.2011 в 20:03.
-
Junior Member
- Вес репутации
- 52
И что, ничего нового?
Или все настолько плохо?
-
Извините за задержку.
В логах ничего зловредного.
Если проблемы все ещё беспокоят, сделайте лог MBAM.
-
-
Junior Member
- Вес репутации
- 52
Просканил m-bam'ом. Именно он наконец-таки удалил Install_Flash-Player[1].exe.
Всем спасибо! Тему можно закрывать.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\admin\\application data\\archsoft\\arustart.exe - Hoax.Win32.ArchSMS.iytq ( DrWEB: Trojan.SMSSend.1156, BitDefender: Trojan.Generic.6317783, AVAST4: Win32:Malware-gen )
- c:\\documents and settings\\com\\local settings\\temporary internet files\\content.ie5\\l1n24csa\\install_flash-player[1].exe - Trojan.Win32.FakeWarn.k ( DrWEB: Trojan.Winlock.3170, BitDefender: Trojan.Generic.KDV.156942, NOD32: Win32/LockScreen.AFD trojan, AVAST4: Win32:FraudTool-TK [Trj] )
- c:\\windows\\system32\\cpldapu\\produkey.exe - not-a-virus:PSWTool.Win32.ProductKey.aw ( DrWEB: Tool.PassSteel.377 )
-