Компьютер заражен.

[Michael2611]

Добрый день!
На компьютере установлен KIS 2011. После заражения, в системе происходят периодические сбои. Полная проверка системы зависает после нескольких процентов. Проверил Систему Dr.Web CureIt! в безопасном режиме, было найдено и удалено несколько троянов. В соответствии с инструкцией хотел сделать логи AVZ, но, он подвисает на пункте 3.Сканирование дисков. При проверке файла C:\WINDOWS\system32\drivers\klif.cab. Посоветуйте, пожалуйста, что сделать.

UPD: После перемещения файла klif.cab AVZ повис на том же самом пункте - "Сканирование дисков". На всякий случай, попробовал полиморфный AVZ, эффект тот же.

[V_Bond]

пофиксите

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O4 - HKLM\..\Run: [AutoStart] C:\DOCUME~1\Nina\LOCALS~1\Temp\584723.exe
O4 - HKCU\..\Run: [MSConfig] C:\Documents and Settings\Nina\fxlqbm.exe \u

пуск выполнить
sc delete yozayi0a1aayo

[Michael2611]

пофиксите

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O4 - HKLM\..\Run: [AutoStart] C:\DOCUME~1\Nina\LOCALS~1\Temp\584723.exe
O4 - HKCU\..\Run: [MSConfig] C:\Documents and Settings\Nina\fxlqbm.exe \u

пуск выполнить
sc delete yozayi0a1aayo

Сделал, не помогло AVZ по прежнему виснет на сканировании дисков.

[V_Bond]

2 стандартный скрипт авз тоже виснет ?

[Michael2611]

2 стандартный скрипт авз тоже виснет ?

Да, в самом конце. После 9-ого пункта. Пишет "Выполняется сканирование системы" и все.
А еще не работает дисковод 3.5", пишет отсутствует диск А: и вешает систему. Под DOS дисковод работает.

[snifer67]

Загрузитесь в защищенном режиме с поддержкой командной строки.
Через командную строку запустите файл avz(Введите в командной строке <полный путь к папке avz>\avz.exe ag=y)
Сделайте лог avz.

[Michael2611]

Загрузитесь в защищенном режиме с поддержкой командной строки...

Выполнил второй стандартный скрипт.

[snifer67]

Выполните скрипт в avz

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\Nina\LOCALS~1\Temp\584723.exe','');
DeleteFile('C:\DOCUME~1\Nina\LOCALS~1\Temp\584723.exe');
QuarantineFile('C:\Documents and Settings\Nina\fxlqbm.exe','');
DeleteFile('C:\Documents and Settings\Nina\fxlqbm.exe');
 QuarantineFile('C:\WINDOWS\system32\cubusoute.exe','');
 DeleteService('rirhoxdh');
 DeleteFile('C:\WINDOWS\System32\Drivers\rirhoxdh.sys');
 DeleteFile('C:\WINDOWS\system32\cubusoute.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','zigiquaj');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи.

[Michael2611]

Выполните скрипт в avz

ПК перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.

Скрипт выполнил. Карантин умудрился удалить, тяжелый день... не ругайте сильно...
Логи AVZ смог сделать только в Безопасном режиме с поддержкой командной строки...
hijackthis.log - в обычном режиме.

[Michael2611]

Все, можно форматировать?

[snifer67]

Сделайте лог ComboFix

[Michael2611]

Сделайте лог ComboFix

ComboFix Завис после надписи Completed Stage_2, судя по всему как и KIS с AVZ на проверке файлов? (провисел без признаков жизни 2 часа). Логов соответственно нет. С файловой системой и диском все в порядке.

[polword]

а в безопасном режиме попробуйте сделать лог ComboFix

[Michael2611]

а в безопасном режиме попробуйте сделать лог ComboFix

Сделал.

[V_Bond]

c:\windows\system32\drivers\zrnzrrrn.sys - пришлите согласно приложения 2 правил

[Michael2611]

c:\windows\system32\drivers\zrnzrrrn.sys - пришлите согласно приложения 2 правил

Отправил.

[snifer67]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение

Код:

KillAll:: 

File::
c:\windows\system32\drivers\zrnzrrrn.sys
Driver::
zrnzrrrn
Folder::

Registry::

FileLook::

DirLook::

RegLock::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

[Michael2611]

Скопируйте текст ниже...
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

В безопасном режиме? В обычном повис как и в прошлый раз после Completed Stage_2.
Кстати, я правильно делаю, соглашаясь на апдейты предлагаемые ComboFix?

[Michael2611]

Не дождавшись ответа, сделал лог Combofix в безопасном режиме.

[thyrex]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::
c:\windows\system32\Drivers\vcmnzgfw.sys
c:\windows\System32\Drivers\zpanvkhd.sys

Driver::
vcmnzgfw
ttasbfor
zpanvkhd

Folder::

Registry::

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.