Junior Member
Вес репутации
61
Перезагружается компьютер.
Доброго времени суток!
Подхватила какой-то вирус в инете. После загрузки системы не успеваю выбрать пользователя, компьютер или перезагружается сразу или появляется синий экран смерти. Логи удалось сделать только в безопасном режиме. Буду очень благодарна за помощь.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Отключите восстановление системы!
Пофиксите в HijackThis:
Код:
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Documents and Settings\ЯнаТи\Application Data\Mail.Ru\Agent\Mra\dll\newmrasearch.dll (file missing)
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe,
O4 - HKLM\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe
O4 - HKLM\..\Run: [SService] C:\DOCUME~1\0EE9~1\LOCALS~1\Temp\winimuq9lUelnb9dY.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKLM\..\RunServicesOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKCU\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKCU\..\Run: [ЯнаТи] C:\Documents and Settings\ЯнаТи\ЯнаТи.exe /i
O4 - HKLM\..\Policies\Explorer\Run: [1] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKUS\S-1-5-19\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'Default user')
O4 - S-1-5-19 Startup: is-100OL.lnk = ? (User 'LOCAL SERVICE')
O4 - S-1-5-19 Startup: is-3P5UP.lnk = ? (User 'LOCAL SERVICE')
O4 - S-1-5-19 User Startup: is-100OL.lnk = ? (User 'LOCAL SERVICE')
O4 - S-1-5-19 User Startup: is-3P5UP.lnk = ? (User 'LOCAL SERVICE')
O4 - S-1-5-20 Startup: is-100OL.lnk = ? (User 'NETWORK SERVICE')
O4 - S-1-5-20 Startup: is-3P5UP.lnk = ? (User 'NETWORK SERVICE')
O4 - S-1-5-20 User Startup: is-100OL.lnk = ? (User 'NETWORK SERVICE')
O4 - S-1-5-20 User Startup: is-3P5UP.lnk = ? (User 'NETWORK SERVICE')
O4 - S-1-5-18 User Startup: is-100OL.lnk = ? (User 'SYSTEM')
O4 - S-1-5-18 User Startup: is-3P5UP.lnk = ? (User 'SYSTEM')
O4 - .DEFAULT User Startup: is-100OL.lnk = ? (User 'Default user')
O4 - .DEFAULT User Startup: is-3P5UP.lnk = ? (User 'Default user')
O4 - Startup: is-100OL.lnk = ?
O4 - Startup: is-3P5UP.lnk = ?
O4 - User Startup: is-100OL.lnk = ?
O4 - User Startup: is-3P5UP.lnk = ?
O4 - Global Startup: is-100OL.lnk = ?
O4 - Global Startup: is-3P5UP.lnk = ?
O20 - Winlogon Notify: mckwave - mckwave.dll (file missing)
O20 - Winlogon Notify: netwrp - netwrp.dll (file missing)
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\services.exe','');
QuarantineFile('C:\WINDOWS\System32\hidserv.dll','');
QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');
QuarantineFile('C:\Documents and Settings\ЯнаТи\ЯнаТи.exe','');
QuarantineFile('C:\DOCUME~1\0EE9~1\LOCALS~1\Temp\winimuq9lUelnb9dY.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Rlh85.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\Rlh85.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
DeleteFile('C:\DOCUME~1\0EE9~1\LOCALS~1\Temp\winimuq9lUelnb9dY.exe');
DeleteFile('C:\Documents and Settings\ЯнаТи\ЯнаТи.exe');
DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
DeleteFile('C:\WINDOWS\System32\hidserv.dll');
DeleteFile('C:\WINDOWS\services.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=35053 ).
Попробуйте нормальный режим.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
Junior Member
Вес репутации
61
Карантин выслала. Нормальный режим по-прежнему не работает. Новые логи:
Вложения
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
Не перезагружаясь, сразу после фикса выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
Junior Member
Вес репутации
61
Вложения
В обычном режиме так и не грузится?
Junior Member
Вес репутации
61
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
BC_DeleteSvc('nicsk32');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Попробуйте нормальный режим.
Сделайте новый лог syscheck (только п.2 раздела Диагностика).
I am not young enough to know everything...
Junior Member
Вес репутации
61
Нормальный режим загрузился.
Вложения
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('kwave');
DeleteFile('C:\WINDOWS\system32\kwave.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('kwave');
BC_Activate;
RebootWindows(true);
end.
Повторите пункт 2 диагностики...
Junior Member
Вес репутации
61
Вложения
Больше ничего подозрительного не видно.
Какие-то проблемы остались?
I am not young enough to know everything...
Junior Member
Вес репутации
61
Нет, все в порядке.
Огромное спасибо за помощь ))
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 3 В ходе лечения обнаружены вредоносные программы:
c:\\documents and settings\\янати\\янати.exe - Trojan.Win32.Small.yqv (DrWEB: Trojan.DownLoad.2359 c:\\windows\\system32\\drivers\\nicsk32.sys - Rootkit.Win32.Agent.fgz (DrWEB: Trojan.NtRootKit.241 c:\\windows\\system32\\ntos.exe - Trojan-Spy.Win32.Zbot.hkq (DrWEB: Trojan.PWS.Panda.7)