Блокирован интернет, безопасный режим, убит регулярно обновляемый антивирус касперского 2009,более 10 подозрительных exe файлов, internat.exe грузит процессор на 100%, Panda , AVZ , HijackThis не снимают полностью проблему
Помогите разобраться
Блокирован интернет, безопасный режим, убит регулярно обновляемый антивирус касперского 2009,более 10 подозрительных exe файлов, internat.exe грузит процессор на 100%, Panda , AVZ , HijackThis не снимают полностью проблему
Помогите разобраться
Выполните скриптЗагрузите карантин согласно приложению №3 правил. Повторите логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\wbem\internat.exe',''); QuarantineFile('C:\WINDOWS\system32\DuBa.exe',''); QuarantineFile('C:\WINDOWS\system32\85DEED9E.EXE',''); QuarantineFile('C:\WINDOWS\system32\F107626E.DLL',''); QuarantineFile('c:\windows\system32\xwziid.dll',''); QuarantineFile('c:\windows\system32\takwm.exe',''); QuarantineFile('c:\windows\system32\takqj.exe',''); QuarantineFile('c:\windows\system32\takjl.exe',''); QuarantineFile('c:\windows\system32\takfl.exe',''); QuarantineFile('c:\5.exe',''); QuarantineFile('C:\WINDOWS\system32\migpwd.exe',''); DeleteFile('C:\WINDOWS\system32\migpwd.exe'); DeleteFile('c:\5.exe'); DeleteFile('c:\windows\system32\takfl.exe'); DeleteFile('c:\windows\system32\takjl.exe'); DeleteFile('c:\windows\system32\takqj.exe'); DeleteFile('c:\windows\system32\takwm.exe'); DeleteFile('C:\WINDOWS\system32\F107626E.DLL'); DeleteFile('C:\WINDOWS\system32\85DEED9E.EXE'); DeleteFile('C:\WINDOWS\system32\DuBa.exe'); DeleteFile('C:\WINDOWS\system32\wbem\internat.exe'); DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\PZ0J2L4E\1[1].exe'); DeleteFile('D:\vir\5.exe'); BC_ImportALL; BC_DeleteSvc('takwm'); BC_DeleteSvc('takqj'); BC_DeleteSvc('takjl'); BC_DeleteSvc('takfl'); BC_DeleteSvc('KingDuuBa'); BC_DeleteSvc('6B09E6DC'); BC_Activate; ExecuteSysClean; ExecuteRepair(9); ExecuteWizard('TSW', 1, 1, true); ExecuteWizard('BT', 1, 1, true); RebootWindows(true); end.
появился доступ в интернет. безопасный режим по прежнему заблокирован, слетела и не принимается лицензия на КриптоПро csp 3 , в проводнике заблокирована возможность отобразить скрытые файлы.
Последний раз редактировалось novikoff72; 28.12.2008 в 21:36.
Обновите базы AVZ. Выполните скрипт"Пофиксите" в HijackThisКод:begin ExecuteRepair(10); RebootWindows(true); end.А что если КриптоПро восстановить\переустановить?Код:R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) R3 - URLSearchHook: (no name) - - (no file)
Восстановлена возможность загрузки в безопасном режиме.
Остается блокировка просмотра скрытых файлов в проводнике
Вирус удалил следующие ветки - восстаноил ручками...
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\NOHIDDE N]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
блокировка установки КриптоПро csp 3 - не хочет принимать серийный номер. после удаления не устанавливается.
Получен ли мой карантин? Либо что то нужно повторить отдельно?
Последний раз редактировалось novikoff72; 29.12.2008 в 00:00.
выполните скрипт
Код:begin ExecuteRepair(6); ExecuteRepair(8); RebootWindows(true); end.
Первичные симптомы заражения не наблюдаются, восстановлены блокированные сервисы, Антивирусы попрежнему ничего не находят, но пользователь жалуется, что при попытке использовать OutlookExpress или выйти на почту mail.ru Panda проактивная защита ругается на подозрительную активность и вырубает интернет.
Ждём повторных логов, можно при запущенном OutlookExpress + скрины ругающейся Panda.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 71
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\duba.exe - Backdoor.Win32.Bifrose.ahyz (DrWEB: BackDoor.Darkshell.55)
- c:\\windows\\system32\\xwziid.dll - Backdoor.Win32.PcClient.aavp (DrWEB: BackDoor.PcClient.593)
- \\2005-12-28\\bcqr00009.dta - Backdoor.Win32.PcClient.aavp (DrWEB: BackDoor.PcClient.593)
- \\2005-12-28\\bcqr00010.dta - Backdoor.Win32.PcClient.aavp (DrWEB: BackDoor.PcClient.593)
Уважаемый(ая) novikoff72, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.