-
Junior Member
- Вес репутации
- 47
Червь/вирус?
Система загружена процессами ntvdm.exe. При отключении сети методом вытаскивания патч-корда из гнезда карты, она "не октлючается" (система считает, что сеть всё ещё есть). В папке переменные среды пользователя (C:\TMP) появляются еще какие-то непонятные "tmp.exe" файлы. Штатный анитвирус NOD32 заразу не определяет. CureIt и Kaspersky - тоже. Хелп!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Rem Quadriga, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Здравствуйте.
Отключите:
-ПК от интернета
-Все защитные приложения
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\system32\igfxwt32.exe');
QuarantineFile('c:\windows\system32\igfxwt32.exe','');
QuarantineFile('C:\Documents and Settings\Главный\rsqc.exe','');
DeleteFile('C:\Documents and Settings\Главный\rsqc.exe');
DeleteFile('c:\windows\system32\igfxwt32.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','MSConfig');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','MSConfig');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Intel Wifi Service');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Затем выполните ещё один скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).
Сделайте повторные логи.
-
-
Junior Member
- Вес репутации
- 47
Скрипты отработали. Файл quarantine.zip отправил.
Добавлено через 1 минуту
Еще один признак: галка "скрывать системные файлы" в настройках проводника самопроизвольно восстанавливается в состояние "включено". После лечения это поведение не исчезло.
Последний раз редактировалось Rem Quadriga; 15.06.2011 в 19:49.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 47
Логи сделал заново. Прикрепляю.
-
Junior Member
- Вес репутации
- 47
Похоже, прикол с галкой "скрывать системные файлы" - отдельный прикол. В остальном, кажись всё пофиксилось. Спасибо!
P.S. NOD32 уже тоже обновился и прочухался. Не ваша работа? ))
-
Возможно
В логах порядок.
-
-
Сообщение от
Rem Quadriga
Похоже, прикол с галкой "скрывать системные файлы" - отдельный прикол
Проверьте в реестре в ветке
Код:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
параметры ShowSuperHidden, SuperHidden, Hidden на предмет равенства "1" (это правильное значение)
А также в ветке
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
параметр "CheckedValue" тоже должен быть "1"
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 47
Похоже, у нас целый зоопарк... Логи прилагаю.
-
Пофиксите в HijackThis:
Код:
R3 - URLSearchHook: (no name) - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\NetworkService\igonad.exe','');
QuarantineFile('C:\WINDOWS\system32\igfxwp32.exe','');
QuarantineFile('C:\WINDOWS\system32\igfxwk32.exe','');
DeleteFile('C:\WINDOWS\system32\igfxwk32.exe');
DeleteFile('C:\WINDOWS\system32\igfxwp32.exe');
DeleteFile('C:\Documents and Settings\NetworkService\igonad.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=103712).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 47
Карантин пустой. Логи прилагаю.
-
Заразы больше не видно.
Какие-то проблемы остались?
I am not young enough to know everything...
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\r_server.exe - not-a-virus:RemoteAdmin.Win32.RAdmin.22 ( DrWEB: Program.RemoteAdmin.167 )
-