на ноутбуке пропал доступ в интернет, процессор загружен постояно на 30-50%
процесс csrss.exe грузит систему
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
заранее благодарен
на ноутбуке пропал доступ в интернет, процессор загружен постояно на 30-50%
процесс csrss.exe грузит систему
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
заранее благодарен
1. Отключите восстановление системы!
2. Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('autorun.bat',''); QuarantineFile('C:\WINDOWS\system32\drivers\ip6fw.sys',''); QuarantineFile('C:\WINDOWS\retadpu27.exe',''); QuarantineFile('C:\WINDOWS\msdnc4.exe',''); QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll',''); DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll'); DeleteFile('C:\WINDOWS\msdnc4.exe'); DeleteFile('C:\WINDOWS\retadpu27.exe'); DeleteFile('C:\WINDOWS\system32\drivers\OLD1A.tmp'); DeleteFile('C:\Documents and Settings\123\Local Settings\Temp\winlogon.exe'); DeleteFile('C:\Documents and Settings\123\Local Settings\Temp\17.tmp '); DeleteFile('C:\Documents and Settings\123\Local Settings\Temp\18.tmp '); DeleteFile('C:\Documents and Settings\123\Local Settings\Temp\1C.tmp '); DeleteFile('C:\Documents and Settings\123\Local Settings\Temp\1D.tmp '); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
3. Выполните еще один скрипт:
Снова будет перезагрузка.Код:begin SearchRootkit(false, true); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Ixj56 ', 'Start'); RebootWindows(true); end.
4. Пришлите карантин согласно приложению 3 правил.
5. Сделайте новые логи.
Последний раз редактировалось Bratez; 21.08.2007 в 04:45. Причина: дополнил
I am not young enough to know everything...
все сделал, вот логи
virusinfo_syscheck.zip
virusinfo_syscure.zip
hijackthis.log
кстати компьтер теперь не загружен, работает вроде нормально
процесса iexplore.exe больше не видно
Поищите с помощью AVZ файл Ixj56.sys,
если найдется - пришлите по правилам (см. приложение 2).
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\123\LOCALS~1\Temp\winlogon.exe O20 - Winlogon Notify: botreg - C:\WINDOWS\
После перезагрузки сделайте еще раз логи для контроля.Код:begin BC_DeleteSvc('Ixj56'); BC_DeleteSvc('ip6fw'); BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys'); BC_Activate; RebootWindows(true); end.
I am not young enough to know everything...
файл прислать не могу так как он пишет следующее
Ошибка карантина файла "Ixj56.sys", попытка прямого чтения
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла "C:\WINDOWS\Ixj56.sys", попытка прямого чтения
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла "C:\WINDOWS\system32\Ixj56.sys", попытка прямого чтения
Карантин с использованием прямого чтения - ошибка
остально проделал, вот логи
virusinfo_syscheck.zip
virusinfo_syscure.zip
hijackthis.log
В логах все нормально.
А этот Ixj56.sys надо было искать в AVZ через "Сервис" - "Поиск файлов на диске", в поле "Имя файла или маска" ввести Ixj56.sys, нажать Пуск. Потом найденый файл в карантин, архивировать и т.д.
Попробуйте еще раз, уж очень интересный зверек, надо бы образец получить.
I am not young enough to know everything...
закачал
Оказывается, он уже детектируется Касперским:
Rootkit.Win32.Agent.ea.
Но все равно, спасибо за содействие.
Для окончательной очистки выполните скрипт:
Будет перезагрузка.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('C:\WINDOWS\system32\Ixj56.sys'); BC_ImportDeletedList; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Теперь у вас все ОК.
I am not young enough to know everything...
Касперский и Symantec его опознавали удаляли но это не особо помогало, хотя базы были обновлены.
Так что без вас врятли бы всправился. Очень признателен.
Советую работать за компьютером под пользователем с ограниченными правами.
По возможности не пользоваться Internet Explorer,а использовать альтернативные браузеры,например Firefox,Opera(с отключёнными java скриптами,разрешать их выполнение только для доверенных сайтов)
Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!
Удачи!
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\all users\\документы\\settings\\bot.dll - Trojan-Proxy.Win32.Xorpix.ar (DrWEB: BackDoor.Bech)
- c:\\documents and settings\\123\\local settings\\temp\\winlogon.exe - Trojan-Proxy.Win32.Puma.gp (DrWEB: Trojan.Packed.147)
- c:\\windows\\msdnc4.exe - Trojan-Spy.Win32.Webmoner.ci (DrWEB: Trojan.Packed.166)
- c:\\windows\\system32\\drivers\\ip6fw.sys - Rootkit.Win32.Agent.dp (DrWEB: Trojan.NtRootKit.319)
- c:\\windows\\system32\\drivers\\ixj56.sys - Rootkit.Win32.Agent.ea (DrWEB: Trojan.Spambot.2400)
Уважаемый(ая) Chingiz, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.