Junior Member
Вес репутации
55
Крайне странно работает комп
Комьютер последнее время работает крайне странно - регулярно (4-5 раз за день) сканер NOD32 отлавливает вирусы (раньше такого не было), периодически экран гаснет на несколько секунд, при завершении работы вылезают странные процессы (с именем Yar.exe, Yar - имя пользователя в системе). Логи прилагаю. Что это мого бы быть?
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\Documents and Settings\LocalService\.exe','');
QuarantineFile('E:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\A5JYW2R2\adp[1].exe','');
QuarantineFile('E:\WINDOWS\system32\13.scr','');
QuarantineFile('E:\Documents and Settings\Yar\Yar.exe','');
QuarantineFile('E:\WINDOWS\system32\spooIsv.exe','');
DeleteService('systemntmi');
QuarantineFile('E:\WINDOWS\system32\drivers\systemntmi.sys','');
DeleteService('securentm');
QuarantineFile('E:\WINDOWS\system32\drivers\securentm.sys','');
DeleteService('netsik');
QuarantineFile('E:\WINDOWS\system32\drivers\netsik.sys','');
DeleteService('ksi32sk');
QuarantineFile('E:\WINDOWS\system32\drivers\ksi32sk.sys','');
DeleteService('i386si');
QuarantineFile('E:\WINDOWS\system32\drivers\i386si.sys','');
DeleteService('fips32cup');
QuarantineFile('E:\WINDOWS\system32\drivers\fips32cup.sys','');
DeleteService('ati64si');
QuarantineFile('E:\WINDOWS\system32\drivers\ati64si.sys','');
DeleteService('amd64si');
QuarantineFile('E:\WINDOWS\system32\drivers\amd64si.sys','');
DeleteService('acpi32');
QuarantineFile('E:\WINDOWS\system32\drivers\acpi32.sys','');
DeleteService('msile');
DeleteService('MSNETDED');
QuarantineFile('E:\WINDOWS\system32\drivers\sysdrv32.sys','');
QuarantineFile('e:\documents and settings\yar\yar.exe','');
QuarantineFile('e:\windows\system32\sysmgr.exe','');
QuarantineFile('e:\windows\system\svhost.exe','');
QuarantineFile('e:\windows\system\msile.exe','');
DeleteFile('e:\windows\system\msile.exe');
DeleteFile('e:\windows\system\svhost.exe');
DeleteFile('e:\windows\system32\sysmgr.exe');
DeleteFile('e:\documents and settings\yar\yar.exe');
DeleteFile('E:\WINDOWS\system32\drivers\sysdrv32.sys');
DeleteFile('E:\WINDOWS\system32\drivers\acpi32.sys');
DeleteFile('E:\WINDOWS\system32\drivers\amd64si.sys');
DeleteFile('E:\WINDOWS\system32\drivers\ati64si.sys');
DeleteFile('E:\WINDOWS\system32\drivers\fips32cup.sys');
DeleteFile('E:\WINDOWS\system32\drivers\i386si.sys');
DeleteFile('E:\WINDOWS\system32\drivers\ksi32sk.sys');
DeleteFile('E:\WINDOWS\system32\drivers\netsik.sys');
DeleteFile('E:\WINDOWS\system32\drivers\securentm.sys');
DeleteFile('E:\WINDOWS\system32\drivers\systemntmi.sys');
DeleteFile('E:\WINDOWS\system32\spooIsv.exe');
DeleteFile('E:\Documents and Settings\Yar\Yar.exe');
DeleteFile('E:\WINDOWS\system32\13.scr');
DeleteFile('E:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\A5JYW2R2\adp[1].exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
Junior Member
Вес репутации
55
У компьютера сгорел блок питания, поэтому отвечаю только сейчас. До выполнения скрипта я проходил систему утилитой CureIt, поэтому какие-то из зараженных файлов могли не попасть в карантин.
Добавлено через 3 минуты
2 Карантина, от 1 мая и от 3 мая отправлены
Последний раз редактировалось Rigsnik; 03.05.2009 в 18:11 .
Причина: Добавлено
I am not young enough to know everything...
Junior Member
Вес репутации
55
Вложения
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('E:\Documents and Settings\LocalService\.exe');
ExecuteSysClean;
BC_DeleteSvc('port135sik');
BC_DeleteSvc('nicsk32');
BC_DeleteSvc('ws2_32sik');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новый лог syscheck (только п.2 раздела Диагностика).
Как самочувствие пациента?
I am not young enough to know everything...
Junior Member
Вес репутации
55
Спасибо, пациент чувствует себя более-менее. Вот лог
Вложения
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
DelBHO('{95289393-33EA-4F8D-B952-483415B9C955}');
DeleteFile('E:\Documents and Settings\Yar\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
ExecuteSysClean;
ExecuteRepair(16);
RebootWindows(true);
end.
Повторите пункт 2 диагностики...
Junior Member
Вес репутации
55
Вложения
Junior Member
Вес репутации
55
Спасибо большое за помощь!
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 11 В ходе лечения обнаружены вредоносные программы:
e:\documents and settings\localservice\.exe - Trojan.Win32.Rabbit.p ( DrWEB: Trojan.DownLoad.33158, BitDefender: Trojan.Kobcka.HY ) e:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\a5jyw2r2\adp[1].exe - Net-Worm.Win32.Kolab.cbf ( DrWEB: BackDoor.IRC.Itan, BitDefender: Dropped:Rootkit.17518 ) e:\windows\system32\13.scr - Net-Worm.Win32.Kolab.cbf ( DrWEB: BackDoor.IRC.Itan, BitDefender: Dropped:Rootkit.17518 )