dthnth 3 Опубликовано 4 декабря, 2009 Share Опубликовано 4 декабря, 2009 (изменено) Добрый день. схватили trojan ransom, блокировавший доступ к интернету. стоял антивирус касперского 2009, винт вылечили на другой машине, поставили kis2009, в настоящий момент обновляется. Однако остались непонятные штуки, которые напрягают. 1. в system32 возникает откуда то файл av_md.exe и прописывается в реестре в автозапуск 2. также в автозапуск прописывается regedit.exe , неоднократное ручное удаление - не помогает. 3. в процессах висит cmd.exe и грузит проц на 50-60 процентов, несмотря на то что при этом cmd не запущен. Помогите побороться с этой пакостью. прилагаю логи virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Изменено 4 декабря, 2009 пользователем dthnth Цитата Ссылка на сообщение Поделиться на другие сайты
snifer67 120 Опубликовано 4 декабря, 2009 Share Опубликовано 4 декабря, 2009 Выполните скрипт в avz begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Program Files\Internet Explorer\urlmon.dll',''); QuarantineFile('C:\WINDOWS\system32\regedit.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\siszyd32.exe',''); DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\siszyd32.exe'); DeleteFile('C:\WINDOWS\system32\regedit.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32'); DeleteFile('C:\Program Files\Internet Explorer\urlmon.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; ExecuteWizard('TSW',2,2,true); RebootWindows(true); end. ПК перезагрузится. Выполнить скрипт в AVZ. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь. Сделайте новые логи. Цитата Ссылка на сообщение Поделиться на другие сайты
dthnth 3 Опубликовано 7 декабря, 2009 Автор Share Опубликовано 7 декабря, 2009 Здравствуйте! скрипты выполнила, cmd шка из процессов исчезла, svchost больше слав абогу процессор не грузит на 100, и наконецто нормально обновился kis , однако в реестре все равно regedit в автозагрузке и не удаляется. Карантин отправлен в newvirus@kaspersky.com. вот новые логи: просканировалась kis-ом 07.12.2009 12:31:13 Удалено троянская программа Trojan.Win32.Inject.alwr C:\WINDOWS\Installer\{ffffffff-F03B-4b40-A3D0-F62E04DD1C09}.exe 07.12.2009 12:40:20 Удалено троянская программа Backdoor.Win32.HareBot.alo C:\WINDOWS\system32\config\systemprofile\av_md.exe 07.12.2009 12:45:50 Удалено троянская программа Backdoor.Win32.HareBot.alo C:\WINDOWS\Temp\~TME.tmp перед этим av_md садился в system32. удалив его руками, создала av_md.exe в этом каталоге только для чтения с 0-м размером, так он , нигадяй!, залез теперь системпрофиле, жесть какая то ) virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 7 декабря, 2009 Share Опубликовано 7 декабря, 2009 Выполните скрипт в AVZ begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\regedit.exe',''); DeleteFile('C:\WINDOWS\system32\regedit.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь. Пофиксите в HiJack O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present Сделайте новые логи Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.