Комп запросил код, введя универсальный "57***39" винда успешно загрузилась, но я вижу, что вирусяги не ушли подлюки....
Стандартно выполнил процедуры.
Очень жду помощи, парни!
Комп запросил код, введя универсальный "57***39" винда успешно загрузилась, но я вижу, что вирусяги не ушли подлюки....
Стандартно выполнил процедуры.
Очень жду помощи, парни!
Последний раз редактировалось Whale; 06.11.2009 в 13:35.
Поищите с помощью AVZ (Сервис - Поиск файлов на диске) в папке C:\WINDOWS\system32 файлы msconfig.exe и explorer.exe
Если найдется, пришлите его согласно Приложению 2 правил
Пофиксить в HiJack
Выполните скрипт в AVZКод:R3 - URLSearchHook: (no name) - - (no file) F2 - REG:system.ini: Shell=explorer.exe,user32.exe F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe, O4 - HKLM\..\Policies\Explorer\Run: [1] explorer O4 - HKLM\..\Policies\Explorer\Run: [2] msconfig
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelCLSID('{E6FB5E20-DE35-11CF-9C87-00AA005127ED}'); QuarantineFile('G:\autorun.exe',''); QuarantineFile('G:\autorun.inf',''); QuarantineFile('D:\md.exe',''); QuarantineFile('D:\autorun.inf',''); QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe',''); QuarantineFile('msconfig.exe',''); QuarantineFile('C:\WINDOWS\system32\sdra64.exe',''); QuarantineFile('Dacfraxdentc.sys',''); DeleteService('Dacfraxdentc'); QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll',''); TerminateProcessByName('c:\windows\system32\user32.exe'); QuarantineFile('c:\windows\system32\user32.exe',''); DeleteFile('c:\windows\system32\user32.exe'); DeleteFile('C:\WINDOWS\system32\msvcrt57.dll'); DeleteFile('Dacfraxdentc.sys'); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); DeleteFile('C:\Program Files\Microsoft Common\svchost.exe'); DeleteFile('D:\autorun.inf'); DeleteFile('D:\md.exe'); DeleteFile('G:\autorun.inf'); DeleteFile('G:\autorun.exe'); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(9); ExecuteRepair(16); RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Эти файлы нашлись в папке C:\WINDOWS\system32\dllcache\ - их слать?
Непосредственно в C:\WINDOWS\system32\ таковых нет
Что делать?
Добавлено через 11 минут
Результат загрузкиФайл сохранён как 090719_012305_virus_4a623d396c845.zip
Размер файла 194973
MD5 52309cfb2722e5cd9acc9dcf1276bbef
Файл закачан, спасибо!
Последний раз редактировалось Whale; 19.07.2009 в 01:23. Причина: Добавлено
Повторяю логи
Последний раз редактировалось Whale; 06.11.2009 в 13:35.
Тук-тук?
По косвенным признакам вируса на компе не обнаруживается (на флешке более не создаются файл самого вируса и его загрузчик - ранее создавались autorun.exe и autorun.inf)
"Доктор, я жить буду?" (с)
Пофиксить в HiJack
Установите SP3 (может потребоваться активация) + все новые заплаткиКод:R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll (file missing) R3 - URLSearchHook: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll (file missing) O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll (file missing) O2 - BHO: CIEStub Class - {EBBFE27C-BDF0-11D2-BBE5-00609419F467} - (no file) O3 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll (file missing) O9 - Extra button: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe (file missing) O9 - Extra 'Tools' menuitem: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe (file missing)
Установите Internet Explorer 8
Установите Adobe Acrobat 9.1 или удалите старый
Сделайте новый лог HiJack
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Обновил до сп3.
За неимением инета на исследуемом компе - доп заплатки установил не все. (будут установлены позднее)
IE 8 в процессе установки. Сейчас доставится.
Акробат ридер 9.1 установлен.
Логи снять еще разок?
Если проблем не осталось, логи не требуются больше
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
К сожалению, но проблема открылась с новой стороны.
Как только подключил к компу хвост выделенки (инет) активизировался какой то вирь.... , который блокировал запуск инета (для запуска инета используется VPN. Однозначно инет на комп поступает, поскольку присвоился айпишник и служба поддержки говорит, что наш комп активен... (ну что-то типа такого)...
точно знаю, что касперский ругается на advapi32.dll а во время работы компа эта гадость превращается в advapi32.$$$ и касперыч заносит его в карантин и хочет обезвредить после перезагрузки, но!!! после перезагрузки история повторяется, поскольку этот файл превращается обратно в dll и фактически касперыч его не видит
Вот такой замкнутый круг ...
Хочу добавить, что очень похоже вот на это http://virusinfo.info/showthread.php?t=50272 (то, что там написано в скриптах я не делаю - правила читал )
Даже файлы одни и те же user32.exe
Последний раз редактировалось Whale; 19.07.2009 в 21:47.
Появление advapi32.$$$ - это особенности работы Крипто-Про.
Базы Касперского давно обновляли? Это было ложное срабатывание и вроде как поправлено
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Копаюсь поиском на просторах... и нашел пару интересных тем.
Дополнительно указываю вам, что на компе стоит КриптоПро!!!!!
http://216.246.90.119/showthread.php?t=36219
Ни слова не понял.... Собственно.... а что дальше делать???? я в шоке...
Упс
Базы обновлял 17.07.2009 Установлен КИС 2009
Прочтите сообщение №11
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Да, обнаружил, что заблокирован Диспетчер задач.
по правой кнопке Диспетчер задач серый, а по трем кнопкам - написано, что "Диспетчер задач заблокирован администратором".
Добавлено через 57 секунд
Да-да. Прочитал, отчего и написал "Упс". Базы антивиря обновлю сейчас еще раз. - посмотрю, что будет.
Последний раз редактировалось Whale; 19.07.2009 в 22:28. Причина: Добавлено
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ExecuteRepair(11); RebootWindows(true); end.
Доступ к диспетчеру задач появился?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Помещайте в доверенные. Странно, что до сих пор он у Вас детектится
Вот вчерашнее сообщение на форуме ЛК (последний пост темы)
http://forum.kaspersky.com/index.php...post&p=1039751
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Сделал проверку после обновлений. Сказал, что "Чистый"
Теперь буду пробовать дальше...
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 7
- В ходе лечения обнаружены вредоносные программы:
- c:\program files\microsoft common\svchost.exe - Worm.Win32.Downloader.alc ( DrWEB: Trojan.DownLoad.5244 )
- c:\windows\system32\msvcrt57.dll - Trojan-PSW.Win32.WebMoner.hn ( DrWEB: Trojan.DownLoad.5244 )
- c:\windows\system32\user32.exe - Trojan-Ransom.Win32.SMSer.ft
- d:\md.exe - Trojan-Ransom.Win32.SMSer.ft
- g:\autorun.exe - Worm.Win32.Downloader.alc ( DrWEB: Trojan.DownLoad.5244 )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) Whale, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.