-
Junior Member
- Вес репутации
- 55
Не грузится ни KIS, HiJackThis, AVZ не лечит
Столкнулся с такой бедой у знакомых:
- внезапно пропал KIS 7.0, после этого пошли глюки системы
- прогнал на другой машине полное сканирование винта KIS'ом 7.0.1.325 - нашел 2 вируса, KIS так и не запускается
- прогонял AVZ несколько раз, в первый чего-то поправил (лога нет ):, в последующие разы, что-то находит, но не лечит
- HiJackThis не запускается даже с именем 123.exe
В первый раз щупал AVZ, раньше чуть что переливал систему заново, а сейчас уже интересно стало. Будьте добры, подскажите что делать и как лечить?
Последний раз редактировалось itch; 14.07.2009 в 13:13.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\RECYCLER\S-1-5-21-8416831551-2087182309-006812559-1156\winservices.exe','');
QuarantineFile('C:\Windows\system32\MSIVXjihpxmexoymyvktukcyuymruxmwuypfw.dll','');
DeleteFile('C:\Windows\system32\MSIVXjihpxmexoymyvktukcyuymruxmwuypfw.dll');
DeleteFile('C:\RECYCLER\S-1-5-21-8416831551-2087182309-006812559-1156\winservices.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=48382).
Сделайте новые логи (все три по правилам + дополнительно лог Gmer).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 55
сделал, как было сказано.
После avz и gmer прогнал свежий cureit, логи прилагаю.
система вроде ожила, КИС стал грузиться, сам больше ничего не нашел.
НО! avz находит перехватчики, нейтрализует и при повторном сканировании опять по новой то же самое.
Последний раз редактировалось itch; 14.07.2009 в 13:13.
-
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
Код:
gmer.exe -del service MSIVXserv.sys
gmer.exe -del file "C:\WINDOWS\system32\drivers\MSIVXbasbphqwewbsbqhelwmkixnriloowqpq.sys"
gmer.exe -del file "C:\Windows\system32\MSIVXjihpxmexoymyvktukcyuymruxmwuypfw.dll"
gmer.exe -del file "C:\WINDOWS\system32\MSIVXcount"
gmer.exe -del file "C:\WINDOWS\system32\MSIVXbeolnllbfvasftqqjjpmbardnqvxsiem.dll"
gmer.exe -del file "C:\WINDOWS\system32\MSIVXjihpxmexoymyvktukcyuymruxmwuypfw.bak"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\MSIVXserv.sys"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\MSIVXserv.sys"
gmer.exe -reboot
И запустите cleanup.bat
Сделать новый лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
В дополнение -
Пофиксите в HijackThis:
Код:
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.89,85.255.112.201
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.89,85.255.112.201
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.89,85.255.112.201
Перезагрузите компьютер и сделайте новый лог HijackThis.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 55
сделал. перехватчики нормальные или нет?
Последний раз редактировалось itch; 14.07.2009 в 13:13.
-
-
-
Junior Member
- Вес репутации
- 55
а строки в логе avz вида:
Код:
Функция kernel32.dll:GetProcAddress (409) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AE30->7C884FEC
Перехватчик kernel32.dll:GetProcAddress (409) нейтрализован
...
и
Код:
\FileSystem\ntfs[IRP_MJ_CREATE] = 867D71F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 867D71F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 867D71F8 -> перехватчик не определен
...
ни о чем плохом не говорят?
Я не силен в этих делах, но что-то тут явно нечисто.
-
Все нормально
Установите Internet Explorer 8
Обновите JRE
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
хм... ради просвещения, поясните, пожалуйста, связь между этими фактами и этим софтом.
-
Этот софт никакого отношения к Вашим последним наблюдениям не имеет.
Это рекомендации по завершении лечения для закрытия потенциальных уязвимостей
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\msxml3.dll - Trojan-Downloader.Win32.Agent.cgia
-