Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 26.

Вирусы в nicsk32.sys, port135sik.sys и мн. др. (заявка № 45154)

  1. #1
    Junior Member Репутация
    Регистрация
    12.05.2007
    Адрес
    Москва
    Сообщений
    31
    Вес репутации
    62

    Exclamation Вирусы в nicsk32.sys, port135sik.sys и мн. др.

    NOD32 начал выдавать предупреждения о найденых троянских программах.

    C:\WINDOWS\system32\drivers\nicsk32.sys
    Событие в новом файле, созданном приложением C:\Temp\bnba2.tmp
    C:\WINDOWS\system32\drivers\adsmsextq.dll
    Событие в новом файле, созданном приложением svchost.exe
    C:\WINDOWS\system32\drivers\port135sik.sys
    Событие в новом файле, созданном приложением C:\Temp\BNC83.tmp
    C:\WINDOWS\system32\drivers\ws2_32sik.sys
    Событие в новом файле, созданном приложением C:\Temp\BNDE2.tmp
    C:\WINDOWS\system32\drivers\ksi32sk.sys
    Событие в новом файле, созданном приложением C:\Temp\BNE43.tmp
    C:\WINDOWS\system32\drivers\netsik.sys
    Событие в новом файле, созданном приложением C:\Temp\BNF9B.tmp.

    Перезагрузил комп чтобы выполнить проверку AVZ. Комп часто подвисает, приложения AVZ и HijackThis не запускаются. Даже при щелчке на Мой компьютер комп зависает.

    Перезагрузился в безопасном режиме, выполнил проверку AVPTool:

    обнаружено: троянская программа Trojan-Spy.Win32.Delf.emh Файл: C:\Documents and Settings\Root\Local Settings\Application Data\Microsoft\lsass.exe//PE_Patch.UPX//UPX
    обнаружено: троянская программа Trojan.Win32.Agent.nbu Файл: C:\Documents and Settings\Root\Local Settings\Application Data\Microsoft\kbrdwin5.dll
    обнаружено: троянская программа Trojan.Win32.Rabbit.ac Файл: c:\documents and settings\root\root.exe
    обнаружено: троянская программа Rootkit.Win32.Agent.ikz Файл: c:\windows\system32\drivers\acpi32.sys

    Лечить он их не может.
    В безопасном AVZ не запускается! Я даже логи сделать не могу!
    Помогите пожалуйста!

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Пробуйте этот AVZ http://depositfiles.com/files/821x5y5lf

  4. #3
    Junior Member Репутация
    Регистрация
    12.05.2007
    Адрес
    Москва
    Сообщений
    31
    Вес репутации
    62
    Цитата Сообщение от Гриша Посмотреть сообщение
    Пробуйте этот AVZ http://depositfiles.com/files/821x5y5lf
    Не качает у меня с депозита. Пишет что скачка уже идет.

  5. #4
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808

  6. #5
    Junior Member Репутация
    Регистрация
    12.05.2007
    Адрес
    Москва
    Сообщений
    31
    Вес репутации
    62
    HijackThis не запускается!
    Логи AVZ:
    Вложения Вложения

  7. #6
    Junior Member Репутация
    Регистрация
    12.05.2007
    Адрес
    Москва
    Сообщений
    31
    Вес репутации
    62
    Сканировние выполнял из безопасного режима. В обычном - комп зависает после запуска сканирования AVZ.

  8. #7
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
     QuarantineFile('C:\WINDOWS\system32\digiwet.dll','');
     QuarantineFile('C:\Documents and Settings\Root\Root.exe','');
     DeleteService('acpi32');
     DeleteService('RDSessMgrWmiApSrv');
     QuarantineFile('C:\WINDOWS\system32\12520850k.exe','');
     DeleteFile('C:\WINDOWS\system32\12520850k.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
     DeleteFile('C:\Documents and Settings\Root\Root.exe');
     DeleteFile('C:\WINDOWS\system32\digiwet.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('acpi32');
    BC_DeleteSvc('RDSessMgrWmiApSrv');    
    BC_Activate;
    ExecuteRepair(6);
    ExecuteRepair(9);    
    RebootWindows(true);
    end.
    Пришлите карантин по правилам и повторите логи...

  9. #8
    Junior Member Репутация
    Регистрация
    12.05.2007
    Адрес
    Москва
    Сообщений
    31
    Вес репутации
    62
    Логи из безопасного режима. hijackthis стал запускаться
    Вложения Вложения

  10. #9
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Базы обновите AVZ, попробуйте сделать логи в обычном режиме...

  11. #10
    Junior Member Репутация
    Регистрация
    12.05.2007
    Адрес
    Москва
    Сообщений
    31
    Вес репутации
    62
    Новые логи, сделанные в обычном режиме с обновленной базой AVZ
    Вложения Вложения

  12. #11
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
     ClearQuarantine;       
     DeleteFile('digiwet.dll');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    В логах чисто, установите SP3+all updates...

  13. #12
    Junior Member Репутация
    Регистрация
    12.05.2007
    Адрес
    Москва
    Сообщений
    31
    Вес репутации
    62
    SP3 поставил! Спасибо огромное!!!

  14. #13
    Junior Member Репутация
    Регистрация
    12.05.2007
    Адрес
    Москва
    Сообщений
    31
    Вес репутации
    62
    Добрый день! Было все нормально, до вечера! Вечером комп завис! При обычной загрузке появляется рабочий стол и комп зависает! Заразились все мои сайты! Порядка 10 штук! К ним в файлы php прописались куски кода со всплывающими окнами и с запуском сторонних скриптов! Сегодня с утра обнаружил, что на моем ноутбуке тот же вирус! У меня MacBook Pro и стоит помимо ОСИ еще винда ХР ! Теже самые вирусы! Что посоветуете???? HELP!!!!!

    Добавлено через 3 минуты

    Сейчас сижу под МАК ОСЬ Х. Что делать со стационарным компом который зависает при нормальной загрузке? В безопасном - грузится! С ноутом буду разбираться позже!
    Последний раз редактировалось phonext; 06.05.2009 в 11:14. Причина: Добавлено

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Что посоветуете????
    Давайте новые логи, будем смотреть.

    Добавлено через 55 секунд

    Только для каждого ПК отедльная тема.
    Последний раз редактировалось Bratez; 06.05.2009 в 11:16. Причина: Добавлено
    I am not young enough to know everything...

  16. #15
    Junior Member Репутация
    Регистрация
    12.05.2007
    Адрес
    Москва
    Сообщений
    31
    Вес репутации
    62
    Логи сделанные в безопасном режиме.
    Вложения Вложения

  17. #16
    Junior Member Репутация
    Регистрация
    12.05.2007
    Адрес
    Москва
    Сообщений
    31
    Вес репутации
    62
    Как-то подозрительно мало они весят

  18. #17
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".


    Код:
    begin
     QuarantineFile('C:\WINDOWS\system32\digiwet.dll','');
     DeleteService('whdxfpchylx');
     QuarantineFile('C:\WINDOWS\system32\drivers\cbeshhksytrpxa.sys','');
     DeleteFile('C:\WINDOWS\system32\drivers\cbeshhksytrpxa.sys');
     DeleteFile('C:\WINDOWS\system32\digiwet.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('whdxfpchylx');    
    BC_Activate;
    RebootWindows(true);
    end.
    Пришлите карантин по правилам и повторите логи...

  19. #18
    Junior Member Репутация
    Регистрация
    12.05.2007
    Адрес
    Москва
    Сообщений
    31
    Вес репутации
    62
    Файл сохранён как090506_132947_virus_4a01588b74bd6.zipРазмер файла67938MD5d9340fff559ee3ffb0ca91447c037d88

    Новые логи из безопасного режима:
    Вложения Вложения

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Hijackthis обновите!!!

    Цитата Сообщение от phonext Посмотреть сообщение
    Новые логи из безопасного режима
    ...делать логи в безопасном режиме в общем и целом бессмысленно.

    1. Пуск/Выполнить... набрать msconfig, нажать клавишу ВВОД.
    2. В карточке Автозапуск - Все отключить
    3. В карточке Службы - Службы Windows не показывать, остальные отключить.

    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('digiwet.dll');
    BC_ImportAll;
    ExecuteSysClean;
    SetAVZPMStatus(True);
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:

    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  21. #20
    Junior Member Репутация
    Регистрация
    12.05.2007
    Адрес
    Москва
    Сообщений
    31
    Вес репутации
    62
    Новые логи:
    Вложения Вложения

  • Уважаемый(ая) phonext, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Вирусы-картинки и вирусы-музыка?
      От catmen08 в разделе Общая сетевая безопасность
      Ответов: 16
      Последнее сообщение: 04.05.2010, 17:01
    2. Ответов: 1
      Последнее сообщение: 09.04.2010, 18:00
    3. Подозрение на вирусы вирусы
      От Magvai в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 18.09.2009, 16:32
    4. Ответов: 9
      Последнее сообщение: 22.02.2009, 09:44
    5. Вирусы полечил, вирусы остались
      От Yurii в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 17.07.2008, 07:57

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00017 seconds with 20 queries