Файлы C:\Documents and Settings\amun\Рабочий стол\NEW BOT\wp507f\WP507F.exe и c:\documents and settings\amun\главное меню\программы\автозагрузка\igfxtray.exe
проверьте на
virustotal и ссылку на результат запостите в вашем следующем сообщении.
Отключите:
Антивирус/Файерволл
AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mstfm.ini ','');
QuarantineFile('C:\WINDOWS\mstfm.dll','');
DeleteFile('C:\WINDOWS\system32\mstfm.ini');
DeleteFile('C:\WINDOWS\mstfm.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
После перезагрузки выполните такой скрипт:
AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи
этой формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.
В MBAM удалите (запустите полное сканирование, в конце отметьте эти детекты, нажмите "Remove selected")
Цитата:
Registry Values Infected:
HKEY_CURRENT_USER\Software\Microsoft\setiasworld (Malware.Trace) -> Value: setiasworld -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\bk (Malware.Trace) -> Value: bk -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Value: option_1 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Value: option_2 ->
No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Value: option_3 -> No action taken.
Files Infected:
c:\documents and settings\amun\application data\Sun\Java\deployment\cache\6.0\26\7628389a-760feee1 (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\amun\local settings\Temp\is-3BV7E.tmp\Oleau64.dll (Spyware.Banker.Gen) -> No action taken.
c:\documents and settings\amun\рабочий стол\agentsetup.exe (Rogue.Installer) -> No action taken.
c:\documents and settings\amun\application data\avdrn.dat (Malware.Trace) -> No action taken.
c:\documents and settings\amun\local settings\Temp\0.45105810058416007.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\amun\local settings\Temp\0.7250385605244135.exe (Trojan.Dropper) -> No action taken.
|
Поменяйте все важный пароли!!!
Сделайте новый лог RSIT и прикрепите отчет сканирования MBAM+результаты с virustotal
