Junior Member
Вес репутации
63
Виру испортил систему.
Доброго дня...
Помогите, пожалуйста.
Заразили систему, вебер нашел несколько вирусов, перезагрузил машину.
Теперь:
1. Не работает система печати
2. Не работает сеть
3. Не удается скопировать файлы (вкладка скопировать - серым цветом)
4. Очень долгая загрузка ПК
5. Не удается посмотреть свойства запущенных служб
6. Запускаемые программы, приложения, окна не отабражаются в панели задач. (Через диспетчер задач и alt-tab переходы работают и све видно)
Машинка очень нужна. Заранее благодарен за помощь.
Последний раз редактировалось alyen; 31.08.2010 в 14:10 .
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Отключите антивирус и интернет!
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{4845E13B-415D-4671-A42C-8B116CA5175E}');
QuarantineFile('C:\WINDOWS\system32\atmf.dll','');
QuarantineFile('C:\WINDOWS\system32\winds32.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\maxpaynow1.exe','');
QuarantineFile('C:\WINDOWS\iexplorer.exe','');
DeleteService('msupdate');
QuarantineFile('c:\windows\system32\mssrv32.exe','');
QuarantineFile('C:\WINDOWS\system32\svchost.exe','');
DeleteFile('c:\windows\system32\mssrv32.exe');
DeleteFile('C:\WINDOWS\iexplorer.exe');
DeleteFile('C:\WINDOWS\system32\maxpaynow1.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\winds32.exe');
DeleteFile('C:\WINDOWS\system32\atmf.dll');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('msupdate ');
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин по правилам и повторите логи...
Junior Member
Вес репутации
63
Скрипт выполнил.
Карантин пустой.
Вот новые логи.
Проблеммы остались
P.s
Поискал файлы вручную - тоже не нашел.
Последний раз редактировалось alyen; 03.05.2011 в 16:19 .
У Вас Аваст ранее не стоял на этом компьтере? Очень уж похожи сиптомы на его бяку.
svchost.exe удален был.
Попробуй запустить файл во вложении, хуже точно не станет.
Вложения
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
63
Авста не было..
Только Dr-Web
В папке windows\system32 есть несколько файлов с очень подозрительными именами идатой создания, совпадающей со временем возможного заражения.
Вот ссылка на проверку на virustotal.com
http://www.virustotal.com/ru/analisi...1f33fb8d794a11
Архив закачаю в карантин
Добавлено через 2 минуты
Результат загрузки
Файл сохранён как 080721_050954_virus_4884607238d42.zip
Размер файла 66292
MD5 1284cdb8c0a6145f2c42684622b95e56
Файл закачан, спасибо!
Последний раз редактировалось alyen; 21.07.2008 в 14:10 .
Причина: Добавлено
Очень странный наборчик получился в анализе ВТ. А наши вендоры ничего не нашли, какой-то непорядок.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
63
2PavelA
Это совсем свежий карантин. Я его вручную делал и закачал 15 минут назад....
УРА !!!
Все заработало !!!!!
Спасибо большое.
На всякий случай - последние логи
Последний раз редактировалось alyen; 31.08.2010 в 14:10 .
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
63
После востановления svchost- а
Сообщение от
PavelA
У Вас Аваст ранее не стоял на этом компьтере? Очень уж похожи сиптомы на его бяку.
svchost.exe удален был.
Попробуй запустить файл во вложении, хуже точно не станет.
Еще раз спасибо большое !!!
Добавлено через 2 часа 32 минуты
Павел, а имеет смысл скинуть эти файлы в Лабораторию Касперского и Доктора Вебера ?.
Последний раз редактировалось alyen; 21.07.2008 в 18:10 .
Причина: Добавлено
Сбрасывай, лишними не будут. Только посылай с паролем стандартным "virus".
Для тебя было бы правильнее снять логи, а по ним бы уже сделали карантин.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 4 В ходе лечения обнаружены вредоносные программы:
\\virus\\l1298.tmp.exe - Trojan-PSW.Win32.LdPinch.xee (DrWEB: Trojan.PWS.LDPinch.1941) \\virus\\l8484.tmp.exe - Backdoor.Win32.Kbot.ek (DrWEB: Trojan.DownLoader.26661) \\virus\\vhosts.exe - Backdoor.Win32.Kbot.ej (DrWEB: BackDoor.Dax.1