Junior Member
Вес репутации
61
Куча файлов с расширением tmp и sys определяемые как вирусы Nod-ом [Trojan.Win32.Agent.azbd, Worm.Win32.AutoRun.lti, Trojan-Downloader.Win32.Injecter.bgf
]
Nod после сканирования в безопасном режиме нашел с десяток зараженных файлов в папке Windows/system32/drivers и еще во временной папке. Вроде удалил, но при последующем включении компьютера опять выскакивают сообщения о вирусной атаке. Решил просканить с помощью AVZ. Посмотрите, плз, может NOD что-то "упустил"?
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
да уж "упустил" ....
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('crypts.dll','');
QuarantineFile('WinNt64.dll','');
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
QuarantineFile('C:\WINDOWS\system32\rsvrsp.dll','');
QuarantineFile('C:\WINDOWS\system32\digeste.dll','');
QuarantineFile('C:\WINDOWS\system32\twex.exe','');
DeleteService('systemntmi');
QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys','');
DeleteService('port135sik');
DeleteService('nicsk32');
QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys','');
DeleteService('Mrv84');
QuarantineFile('C:\WINDOWS\System32\Drivers\Mrv84.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\lqU05.sys','');
DeleteService('ksi32sk');
QuarantineFile('C:\WINDOWS\system32\drivers\ksi32sk.sys','');
DeleteService('i386si');
QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
DeleteService('ejN83');
QuarantineFile('C:\WINDOWS\System32\Drivers\ejN83.sys','');
DeleteService('acpi32');
QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys','');
QuarantineFile('C:\WINDOWS\system32\wmmest.dll','');
QuarantineFile('C:\WINDOWS\system32\crypts.dll','');
DeleteFile('C:\WINDOWS\system32\crypts.dll');
DeleteFile('C:\WINDOWS\system32\wmmest.dll');
DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ejN83.sys');
DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\lqU05.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Mrv84.sys');
DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
DeleteFile('C:\WINDOWS\system32\twex.exe');
DeleteFile('C:\WINDOWS\system32\digeste.dll');
DeleteFile('C:\WINDOWS\system32\rsvrsp.dll');
DeleteFile('WinCtrl32.dll');
DeleteFile('WinNt64.dll');
DeleteFile('crypts.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
Junior Member
Вес репутации
61
Карантин отослал. Вот новые логи.
Вложения
Отключите восстановление системы!
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\wmmest.dll');
DeleteFile('digeste.dll');
DeleteFile('C:\WINDOWS\Temp\BN8.tmp');
DeleteFileMask('%tmp% ','*.* ',true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Сделайте полную проверку AVPTool и повторите логи...
Junior Member
Вес репутации
61
Проверил антивирусом (NOD32) - ничего не нашел вроде бы. Вот новые логи.
Вложения
Junior Member
Вес репутации
61
Ну что, вроде бы все в порядке. Спасибо, как всегда, за оперативную помощь! С праздниками .
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('%Windir%\expmodule.exe','');
DeleteFile('%Windir%\expmodule.exe');
QuarantineFile('C:\Documents and Settings\Дима2\Дима.exe','');
QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
DeleteFile('C:\WINDOWS\system32\wmmest.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
Junior Member
Вес репутации
61
Сделал новые логи и отослал карантин. Появилась проблема - при загрузке операционной системы не загружается проводник Windows. Приходится его загружать "ручками" через диспетчер задач.
Вложения
Junior Member
Вес репутации
61
Проблема устранилась. Помогла проверка целостности системных файлов.
Junior Member
Вес репутации
61
Чисто, так чисто. СПАСИБО еще раз!
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 8 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\expmodule.exe - Trojan.Win32.Agent.azbd (DrWEB: Trojan.DownLoad.26262) c:\\windows\\system32\\crypts.dll - Trojan-Downloader.Win32.Injecter.bgf (DrWEB: Trojan.Click.23790) c:\\windows\\system32\\digeste.dll - Backdoor.Win32.Small.hbb (DrWEB: Trojan.Inject.5331) c:\\windows\\system32\\rsvrsp.dll - Worm.Win32.AutoRun.lti (DrWEB: Win32.HLLW.Autoruner.2299) c:\\windows\\system32\\twex.exe - Trojan-Spy.Win32.Zbot.jia (DrWEB: Trojan.PWS.Multi.19) c:\\windows\\system32\\wmmest.dll - Trojan.Win32.Agent.azbd (DrWEB: Trojan.DownLoad.26262)