-
Junior Member
- Вес репутации
- 49
Компьютер заражен.
Добрый день!
На компьютере установлен KIS 2011. После заражения, в системе происходят периодические сбои. Полная проверка системы зависает после нескольких процентов. Проверил Систему Dr.Web CureIt! в безопасном режиме, было найдено и удалено несколько троянов. В соответствии с инструкцией хотел сделать логи AVZ, но, он подвисает на пункте 3.Сканирование дисков. При проверке файла C:\WINDOWS\system32\drivers\klif.cab. Посоветуйте, пожалуйста, что сделать.
UPD: После перемещения файла klif.cab AVZ повис на том же самом пункте - "Сканирование дисков". На всякий случай, попробовал полиморфный AVZ, эффект тот же.
Последний раз редактировалось Michael2611; 27.11.2010 в 17:41.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
пофиксите
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O4 - HKLM\..\Run: [AutoStart] C:\DOCUME~1\Nina\LOCALS~1\Temp\584723.exe
O4 - HKCU\..\Run: [MSConfig] C:\Documents and Settings\Nina\fxlqbm.exe \u
пуск выполнить
sc delete yozayi0a1aayo
-
-
Junior Member
- Вес репутации
- 49
Сообщение от
V_Bond
пофиксите
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O4 - HKLM\..\Run: [AutoStart] C:\DOCUME~1\Nina\LOCALS~1\Temp\584723.exe
O4 - HKCU\..\Run: [MSConfig] C:\Documents and Settings\Nina\fxlqbm.exe \u
пуск выполнить
sc delete yozayi0a1aayo
Сделал, не помогло AVZ по прежнему виснет на сканировании дисков.
-
2 стандартный скрипт авз тоже виснет ?
-
-
Junior Member
- Вес репутации
- 49
Сообщение от
V_Bond
2 стандартный скрипт авз тоже виснет ?
Да, в самом конце. После 9-ого пункта. Пишет "Выполняется сканирование системы" и все.
А еще не работает дисковод 3.5", пишет отсутствует диск А: и вешает систему. Под DOS дисковод работает.
-
Загрузитесь в защищенном режиме с поддержкой командной строки.
Через командную строку запустите файл avz(Введите в командной строке <полный путь к папке avz>\avz.exe ag=y)
Сделайте лог avz.
-
-
Junior Member
- Вес репутации
- 49
Сообщение от
snifer67
Загрузитесь в защищенном режиме с поддержкой командной строки...
Выполнил второй стандартный скрипт.
-
Выполните скрипт в avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\Nina\LOCALS~1\Temp\584723.exe','');
DeleteFile('C:\DOCUME~1\Nina\LOCALS~1\Temp\584723.exe');
QuarantineFile('C:\Documents and Settings\Nina\fxlqbm.exe','');
DeleteFile('C:\Documents and Settings\Nina\fxlqbm.exe');
QuarantineFile('C:\WINDOWS\system32\cubusoute.exe','');
DeleteService('rirhoxdh');
DeleteFile('C:\WINDOWS\System32\Drivers\rirhoxdh.sys');
DeleteFile('C:\WINDOWS\system32\cubusoute.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','zigiquaj');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
-
-
Junior Member
- Вес репутации
- 49
Сообщение от
snifer67
Выполните скрипт в avz
ПК перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
Скрипт выполнил. Карантин умудрился удалить, тяжелый день... не ругайте сильно...
Логи AVZ смог сделать только в Безопасном режиме с поддержкой командной строки...
hijackthis.log - в обычном режиме.
-
Junior Member
- Вес репутации
- 49
Все, можно форматировать?
-
-
-
Junior Member
- Вес репутации
- 49
Сообщение от
snifer67
ComboFix Завис после надписи Completed Stage_2, судя по всему как и KIS с AVZ на проверке файлов? (провисел без признаков жизни 2 часа). Логов соответственно нет. С файловой системой и диском все в порядке.
-
а в безопасном режиме попробуйте сделать лог ComboFix
-
-
Junior Member
- Вес репутации
- 49
Сообщение от
polword
а в безопасном режиме попробуйте сделать лог ComboFix
Сделал.
-
c:\windows\system32\drivers\zrnzrrrn.sys - пришлите согласно приложения 2 правил
-
-
Junior Member
- Вес репутации
- 49
Сообщение от
V_Bond
c:\windows\system32\drivers\zrnzrrrn.sys - пришлите согласно приложения 2 правил
Отправил.
-
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение
Код:
KillAll::
File::
c:\windows\system32\drivers\zrnzrrrn.sys
Driver::
zrnzrrrn
Folder::
Registry::
FileLook::
DirLook::
RegLock::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
-
-
Junior Member
- Вес репутации
- 49
Сообщение от
snifer67
Скопируйте текст ниже...
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
В безопасном режиме? В обычном повис как и в прошлый раз после Completed Stage_2.
Кстати, я правильно делаю, соглашаясь на апдейты предлагаемые ComboFix?
-
Junior Member
- Вес репутации
- 49
Не дождавшись ответа, сделал лог Combofix в безопасном режиме.
-
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\windows\system32\Drivers\vcmnzgfw.sys
c:\windows\System32\Drivers\zpanvkhd.sys
Driver::
vcmnzgfw
ttasbfor
zpanvkhd
Folder::
Registry::
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-