Junior Member
Вес репутации
57
Не запускается браузер
На одном из офисных компьютеров перестал запускаться интернет браузер (пробовал устанавливать и оперы различных версий и фаерфокс), запускается только интернет эксплорер, но странички не отображаются. Помимо этого не удается войти в безопасный режим, требует пароль, хотя раньше пароль не требовался.
Заранее спасибо.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Отключите восстановление системы!
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\found.exe.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\AZIJKFYN\found[1].exe','');
QuarantineFile('globalroot\systemroot\system32\drivers\clbdriver.sys','');
QuarantineFile('C:\WINDOWS\twain_16.dll','');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
QuarantineFile('c:\zfet21.exe','');
QuarantineFile('C:\WINDOWS\system32\winds32.exe','');
QuarantineFile('C:\WINDOWS\system32\avpo.exe','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('C:\WINDOWS\iexplorer.exe','');
QuarantineFile('C:\WINDOWS\fastsmell.exe','');
QuarantineFile('C:\WINDOWS\TEMP\winlogon.exe','');
DeleteService('Wqby51');
DeleteService('Winua16');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winua16.sys','');
DeleteService('tcpsr');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
DeleteService('mswd64');
DeleteService('Mrv40');
QuarantineFile('C:\WINDOWS\system32\drivers\mswd64.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Mrv40.sys','');
DeleteService('mickey32');
QuarantineFile('C:\WINDOWS\system32\drivers\mickey32.sys','');
DeleteService('docker19');
QuarantineFile('C:\WINDOWS\system32\drivers\docker19.sys','');
DeleteService('CryptSvcHidServ');
QuarantineFile('srv.exe','');
DeleteFile('srv.exe');
DeleteFile('C:\WINDOWS\system32\drivers\docker19.sys');
DeleteFile('C:\WINDOWS\system32\drivers\mickey32.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Mrv40.sys');
DeleteFile('C:\WINDOWS\system32\drivers\mswd64.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winua16.sys');
DeleteFile('C:\WINDOWS\TEMP\winlogon.exe');
DeleteFile('C:\WINDOWS\fastsmell.exe');
DeleteFile('C:\WINDOWS\iexplorer.exe');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\WINDOWS\system32\avpo.exe');
DeleteFile('C:\WINDOWS\system32\winds32.exe');
DeleteFile('c:\zfet21.exe');
DeleteFile('C:\WINDOWS\twain_16.dll');
DeleteFile('globalroot\systemroot\system32\drivers\clbdriver.sys');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\AZIJKFYN\found[1].exe');
DeleteFile('C:\WINDOWS\system32\found.exe.exe');
DeleteFile('C:\Documents and Settings\All Users.WINXP\Documents\GameSetup.exe');
DeleteFile('C:\System Volume Information\_restore{91D56F7C-C954-471E-93B9-3627FD3DD54F}\RP36\A0038902.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин по правилам и повторите логи...
Junior Member
Вес репутации
57
Карантин загрузил, высылаю повторные логи
Вложения
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Wqby51');
DeleteService('Mrv40');
DeleteFile('C:\WINDOWS\System32\Drivers\Mrv40.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Wqby51');
BC_DeleteSvc('Mrv40');
BC_Activate;
SetAVZPMStatus(true);
RebootWindows(true);
end.
Повторите логи...
Junior Member
Вес репутации
57
После вышепреведенного лога, после перезагузки windows обнаружил неизвестное устройство, драйвера для него не были найдены
Также при запуске системы нод 32 ругается на след вещи:
хттп://update.microsofttransfer.com/update/update.upd
Вирус: win32/агент.NXK
с:\windows\temp\cldtempres.tmp
модифицированный win32/adware.virtumonde.NCB
c:\windows\system32\config\sistemprofile\localsett ings\temporary internet files\content.ie5\A2IJKFYN\updateCA62TBLE.upd
модифицированный win32/adware.virtumonde.ncb
оба послених файла как от svhost.eхе
Логи прилагаются
Вложения
Последний раз редактировалось Maxim-um; 21.11.2008 в 15:35 .
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('\??\globalroot\systemroot\system32\drivers\clbdriver.sys');
DeleteFile('C:\WINDOWS\system32\clbdll.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Повторите логи AVZ...
Последний раз редактировалось Гриша; 21.11.2008 в 15:52 .
Junior Member
Вес репутации
57
При завершении скрипта лечения\карантина и сбора информации вылезла ошибка "Acces violation at adress 00402254 in module avz.exe write at adress 46435359
Логи прикрепил
Вложения
Скачать ,меню,File,появится аналог проводника,найти:
Код:
C:\WINDOWS\system32\drivers\clbdriver.sys
правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.
Затем скрипт из поста №6 и новые логи...
Junior Member
Вес репутации
57
новые логи, логи лечения/карантина также собрать не удалось, выдает ошибку при выполнении исследования системы
Вложения
Пофиксить
Код:
O18 - Filter hijack: text/html - {53B95211-7D77-11D2-9F80-00104B107C96} - C:\WINDOWS\twain_16.dll
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\twain_16.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Повторите логи...
Junior Member
Вес репутации
57
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 37 В ходе лечения обнаружены вредоносные программы:
c:\\documents and settings\\all users.winxp\\documents\\gamesetup.exe - Worm.Win32.AutoRun.vrl