Вырубились антивирус и банк-клиенты...
CureIt обнаружил какую-то фигню MPK (dll и exe). Загрузился с ERD - удалил папку и в реестре... Не помогает!
Что можно предпринят?
Вырубились антивирус и банк-клиенты...
CureIt обнаружил какую-то фигню MPK (dll и exe). Загрузился с ERD - удалил папку и в реестре... Не помогает!
Что можно предпринят?
Уважаемый(ая) ponomax, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполнить скрипт:
Компьютер перезагрузится. Карантин прислать согласно правилам. Логи повторить.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\hzfwlnl.dll',''); QuarantineFile('C:\WINDOWS\system32\debughelp32.exe',''); QuarantineFile('C:\Documents and Settings\accnt-03\Application Data\netprotocol.exe',''); DeleteFile('C:\Documents and Settings\accnt-03\Application Data\netprotocol.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Netprotocol'); DeleteFile('C:\WINDOWS\system32\debughelp32.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Debugger 32'); DeleteFile('C:\WINDOWS\system32\hzfwlnl.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Логи прилогаются...
Симантек ставится, но не запускается... Банк-клиент - не ставится, говорит что в режиме совместимости не могу поставить!
в аттаче...
Может прибить эти ключи?
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SysDebug32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Network Adapter Events\ImagePath
На аналогичной по конфе машине их нет...
Добавлено через 5 минут
В первом вот такая "гомосятина":
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"ParseAutoexec"="1"
"ExcludeProfileDirs"="Local Settings;Temporary Internet Files;History;Temp;Local Settings\\Application Data\\Microsoft\\Outlook"
"BuildNumber"=dword:00000a28
"SysDebug32"=hex:56,29,04,54,97,ab,ab,51,a9,c7,89, a8,c8,49,e1,c8,a0,4c,50,06,\
ac,a3,c6,a4,97,49,84,b5,b4,7e,48,91,c1,d2,9c,3d,26 ,10,08,8b,dc,a7,38,0e,a3,\
99,a4,b0,7e,63,ce,ff,4f,3f,11,03,66,7f,6d,35,42,cf ,e2,1f,66,7f,6d,35,42,cf,\
e2,1f,66,7f,6d,35,42,cf,e2,1f,66,7f,6d,35,42,cf,e2 ,1f,66,7f,6d,35,42,cf,e2,\
1f,66,7f,6d,35,42,cf,e2,1f,fe,d3,ab,d3,d4,db,89,59 ,9f,0d,94,ce,0d,c8,63,22,\
1d,89,1d,a0,da,01,de,eb,1d,aa,aa,75,a8,eb,9f,da,66 ,7f,6d,35,42,cf,e2,1f,66,\
7f,6d,35,42,cf,e2,1f,66,7f,6d,35,42,cf,e2,1f,66,7f ,6d,35,42,cf,e2,1f,66,7f,\
6d,35,42,cf,e2,1f,66,7f,6d,35,42,cf,e2,1f,66,7f,6d ,35,42,cf,e2,1f,1c,3b,e6,\
90,6a,21,36,95,66,7f,6d,35,42,cf,e2,1f,16,d6,bf,07 ,5f,a5,df,f7,66,7f,6d,35,\
42,cf,e2,1f,66,7f,6d,35,42,cf,e2,1f,66,7f,6d,35,42 ,cf,e2,1f,66,7f,6d,35,42,\
cf,e2,1f,66,7f,6d,35,42,cf,e2,1f,66,7f,6d,35,42,cf ,e2,1f,66,7f,6d,35,42,cf,\
e2,1f,66,7f,6d,35,42,cf,e2,1f,66,7f,6d,35,42,cf,e2 ,1f,66,7f,6d,35,42,cf,e2,\
1f,66,7f,6d,35,42,cf,e2,1f,66,7f,6d,35,42,cf,e2,1f ,66,7f,6d,35,42,cf,e2,1f,\
66,7f,6d,35,42,cf,e2,1f,66,7f,6d,35,42,cf,e2,1f,66 ,7f,6d,35,42,cf,e2,1f,66,\
7f,6d,35,42,cf,e2,1f,66,7f,6d,35,42,cf,e2,1f,66,7f ,6d,35,42,cf,e2,1f,66,7f,\
6d,35,42,cf,e2,1f,66,7f,6d,35,42,cf,e2,1f,66,7f,6d ,35,42,cf,e2,1f,66,7f,6d,\
35,42,cf,e2,1f,66,7f,6d,35,42,cf,e2,1f,66,7f,6d,35 ,42,cf,e2,1f,66,7f,6d,35,\
42,cf,e2,1f,66,7f,6d,35,42,cf,e2,1f,66,7f,6d,35,42 ,cf,e2,1f,66,7f,6d,35,42,\
cf,e2,1f,66,7f,6d,35,42,cf,e2,1f,66,7f,6d,35,42,cf ,e2,1f,66,7f,6d,35,42,cf,\
e2,1f,66,7f,6d,35,42,cf,e2,1f,66,7f,6d,35,42,cf,e2 ,1f,66,7f,6d,35,42,cf,e2,\
1f,66,7f,6d,35,42,cf,e2,1f,66,7f,6d,35,42,cf,e2,1f ,66,7f,6d,35,42,cf,e2,1f,\
66,7f,6d,35,42,cf,e2,1f,66,7f,6d,35,42,cf,e2,1f,66 ,7f,6d,35,42,cf,e2,1f,66,\
7f,6d,35,42,cf,e2,1f,66,7f,6d,35,42,cf,e2,1f,66,7f ,6d,35,42,cf,e2,1f,66,7f,\
6d,35,42,cf,e2,1f,66,7f,6d,35,42,cf,e2,1f,66,7f,6d ,35,42,cf,e2,1f,66,7f,6d,\
35,42,cf,e2,1f,66,7f,6d,35,42,cf,e2,1f,66,7f,6d,35 ,42,cf,e2,1f,66,7f,6d,35,\
42,cf,e2,1f,66,7f,6d,35,42,cf,e2,1f,66,7f,6d,35,42 ,cf,e2,1f,66,7f,6d,35,42,\
cf,e2,1f,66,7f,6d,35,42,cf,e2,1f,66,7f,6d,35,42,cf ,e2,1f,66,7f,6d,35,42,cf,\
e2,1f,66,7f,6d,35,42,cf,e2,1f,66,7f,6d,35,42,cf,e2 ,1f,66,7f,6d,35,42,cf,e2,\
1f,66,7f,6d,35,42,cf,e2,1f,66,7f,6d,35,42,cf,e2,1f ,66,7f,6d,35,42,cf,e2,1f,\
66,7f,6d,35,42,cf,e2,1f,66,7f,6d,35,42,cf,e2,1f,66 ,7f,6d,35,42,cf,e2,1f,66,\
7f,6d,35,42,cf,e2,1f,66,7f,6d,35,42,cf,e2,1f,66,7f ,6d,35,42,cf,e2,1f,66,7f,\
6d,35,42,cf,e2,1f,a9,96,31,92,76,46,98,df,41,1b,12 ,e2,0e,10,a2,43
Во втором:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Network Adapter Events]
"Type"=dword:00000110
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):43,00,3a,00,5c,00,57,00,49,00,4 e,00,44,00,4f,00,57,00,53,00,\
5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32 ,00,5c,00,6d,00,73,00,70,\
00,68,00,61,00,68,00,7a,00,6f,00,2e,00,65,00,78,00 ,65,00,20,00,2f,00,73,00,\
65,00,72,00,76,00,69,00,63,00,65,00,00,00
"DisplayName"="Network Adapter Events"
"ObjectName"="LocalSystem"
"Description"="Enables network event log messages issued by adapters and other virtual network components. This service cannot be stopped."
"FailureActions"=hex:ff,ff,ff,ff,00,00,00,00,00,00 ,00,00,01,00,00,00,00,00,00,\
00,01,00,00,00,c0,d4,01,00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Network Adapter Events\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00 ,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01 ,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02 ,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00 ,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00 ,00,00,05,0b,00,00,00,00,\
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00 ,00,00,23,02,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00 ,05,12,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Network Adapter Events\Enum]
"0"="Root\\LEGACY_NETWORK_ADAPTER_EVENTS\\0000 "
"Count"=dword:00000001
"NextInstance"=dword:00000001
Последний раз редактировалось ponomax; 14.11.2011 в 14:03. Причина: Добавлено
Удалите в MBAM:
Код:Зараженные ключи в реестре: HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\NETWORK ADAPTER EVENTS (Trojan.Agent) -> No action taken. Зараженные параметры в реестре: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SysDebug32 (Trojan.Agent) -> Value: SysDebug32 -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Adapter Events\ImagePath (Trojan.Agent) -> Value: ImagePath -> No action taken. c:\documents and settings\accnt-03\doctorweb\quarantine\debughelp32.exe (Trojan.Agent) -> No action taken.
прибил...
все равно как-то не так себя машина вела...
набрался духу и "рубанул шашкой"))) переставил все с нуля... и 12 банков тоже))) про...возился целый день, зато как теперь все летает)))
Спасибо за участие!
Уважаемый(ая) ponomax, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.