-
Junior Member
- Вес репутации
- 60
amudel.exe, monoca32.exe
Добрый день.
Компьютер заблокирован, нет прав доступа на все.
Загрузился через ERD командер, в авторане нашел amudel.exe, monoca32.exe + 20b66e6d.exe
Все файлы и пути в реестре почистил, но система видать еще загружена чемто. Логи выкладываю.
АВЗ создал карантин после выполнения стандартных скриптов. Выложу после создания темы.
Заранее спс.
Последний раз редактировалось Luka_; 10.08.2010 в 13:51.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 60
Результат загрузки
Файл сохранён как100809_111524_virus_4c5fab0c9419c.zipРазмер файла10611MD5aebb52e6019d1094eb4a872c76d324f0Файл закачан, спасибо!
-
профиксить:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
Надо сделать логи с новой версии AVZ.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 60
Логи выкладываю, пофиксил.
После перезагрузки появляется окно отчета об ошибке.
Последний раз редактировалось Luka_; 10.08.2010 в 13:51.
-
выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\~.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\dsnpfd.sys','');
if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then
begin
RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
CopyFile('%windir%\system32\dllcache\sfcfiles.dll', '%windir%\system32\sfcfiles.dll');
DeleteFile('%windir%\system32\sfcfiles.bak');
AddToLog('Замена sfcfiles.dll успешно произведена');
SaveLog('Replace_sfcfiles.dll.log');
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в кеше');
SaveLog('Replace_sfcfiles.dll.log');
end;
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Загрузить карантин по Правилам. Прислать Replace_sfcfiles.dll.log
Сделать логи заново.
Последний раз редактировалось PavelA; 09.08.2010 в 13:56.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 60
Логи выкладываю, карантин почему то пуст, хотя судя по скрипту должен быть с файлами.
Последний раз редактировалось Luka_; 10.08.2010 в 13:51.
-
Файл C:\WINDOWS\system32\sfcfiles.bak запакуйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы
Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
Проверьтесь http://support.kaspersky.ru/viruses/...?qid=208636926
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Провериться TdSSКиллером.
Выполнить:
Код:
begin
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sfcfiles.bak','');
QuarantineFile('C:\WINDOWS\system32\~.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
Карантин прислать.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 60
Результат загрузки
Файл сохранён как100809_143746_sfcfiles_4c5fda7a3e5ab.zipРазмер файла195421MD586cec2fbacade02fdf46c06c51911222Файл закачан, спасибо
Логи сохранил.
Последний раз редактировалось Luka_; 10.08.2010 в 13:51.
-
Junior Member
- Вес репутации
- 60
Сообщение от
PavelA
Карантин прислать.
"Карантин выслал." - что-то не получается, не пишет об удачной загрузке.
-
sfcfiles.bak -- Trojan-Spy.Win32.Agent.bije по Касперскому
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 60
tdsskiller.zip не удается скачать с офф.сайта Касперского. Тренд-Микро ругается на сайт
Есть еще ссылки , откуда можно безопасно скачать ? или на почту [email protected].
Заранее благодарю
Добавлено через 3 минуты
Сообщение от
Luka_
tdsskiller.zip не удается скачать с офф.сайта Касперского. Тренд-Микро ругается на сайт
Есть еще ссылки , откуда можно безопасно скачать ? или на почту
[email protected].
Заранее благодарю
Скачал.. проверяюсь.. Ну и Антивирус у нас %)
Добавлено через 7 минут
Результат загрузки
Файл сохранён как100809_150531_TDSSKiller_Quarantine_4c5fe0fbe9c90. zipРазмер файла55815MD52620f9b70b3e2ffc3fabee6f5f5112edФайл закачан, спасибо!
TDSSKiller_Quarantine выгрузил.
Последний раз редактировалось Luka_; 09.08.2010 в 15:06.
Причина: Добавлено
-
Станд. скрипт №3 повторить надо и лог прислать. Еще должен быть лог TDSSКиллера.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 60
Сообщение от
PavelA
Станд. скрипт №3 повторить надо и лог прислать. Еще должен быть лог TDSSКиллера.
Логи выкладываю.
Последний раз редактировалось Luka_; 10.08.2010 в 13:51.
-
Выполните скрипт в AVZ
Код:
begin
BC_DeleteFile('C:\WINDOWS\system32\~.exe');
BC_DeleteSvc('sfc');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Поищите sfcfiles.dll в папке system32. Если не найдете, восстановите с дистрибутива http://virusinfo.info/showthread.php?t=51654
Сделайте новый лог virusinfo_syscure.zip + лог МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 60
sfcfiles.dll в папке не найден, есть только sfcfiles.bak.
sfcfiles.dll есть в C:\WINDOWS\ServicePackFiles\i386, конечно не известно какой он.
Логи выкладываю.
-
Сообщение от
Luka_
sfcfiles.dll есть в C:\WINDOWS\ServicePackFiles\i386, конечно не известно какой он.
Восстанавливайте оттуда
Сообщение от
Luka_
есть только sfcfiles.bak.
Удаляйте вручную
Удалите в МВАМ все найденное и предоставьте новые логи МВАМ и RSIT
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 60
Файл восстановил, другой удалил. Логи выкладываю.
Вроде чисто.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 60
Сообщение от
thyrex
Плохого не видно
Большое спасибо.