-
Junior Member
- Вес репутации
- 61
Get Accelerator. Туды его в качель...
День добрый!
Посмотрите, пожалуйста, логи.
Сильно не пинайте, логи делал через DameWare, т.к. войти в ПК не могу - при вводе пароля пишет про какую-то ошибку Cx00000BB. В SafeMode тоже самое.
По сети могу увидеть диск c$, реестр и службы (если вдруг пригодится).
Последний раз редактировалось Grower; 18.02.2010 в 17:30.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\Temp\wpv461254382850.exe');
DeleteFile('C:\WINDOWS\Temp\wpv391253926400.exe');
QuarantineFile('C:\WINDOWS\system32\restorer32_a.exe','');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winaf05.sys','');
DeleteService('Winye84');
DeleteService('Winwc27');
DeleteService('Winpu48');
DeleteService('Winpu40');
DeleteService('Winpu37');
DeleteService('Winci51');
DeleteService('Winbg72');
DeleteService('Winag38');
DeleteService('Winag26');
DeleteService('Winaf38');
DeleteService('Winaf05');
QuarantineFile('C:\WINDOWS\dmgr134.sys','');
DeleteFile('C:\WINDOWS\dmgr134.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winaf05.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winaf38.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winag26.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winag38.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbg72.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winci51.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpu37.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpu40.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpu48.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwc27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winye84.sys');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
DeleteFile('C:\WINDOWS\system32\restorer32_a.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
-
-
Junior Member
- Вес репутации
- 61
Поставил SP3 и IE8.
Вот новые логи.
Спасибо за Вашу помощь!
Последний раз редактировалось Grower; 18.02.2010 в 17:30.
-
Junior Member
- Вес репутации
- 61
Карантин выслал:
---------------
Файл сохранён как 091026_135710_virus_4ae5808612fbf.zip
Размер файла 34553
MD5 0c8e53fa267208fb5013888d2c0513b9
---------------
-
Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\nsemrr.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\secdrv.sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 61
Карантин выслал. Делаю новые логи.
Спасибо!
--------------
Файл сохранён как 091026_150625_virus_4ae590c14719a.zip
Размер файла 1491
MD5 7489c863c4096426de8d2b6c835ab521
--------------
-
А/вирус по дороге ничего не сожрал? А то есть такое подозрение.
'C:\WINDOWS\nsemrr.exe' - поищите через AVZ.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 61
Упс, точно... NOD полакомился файликом...
Вот новые логи. Надеюсь, что чистые.
Последний раз редактировалось Grower; 18.02.2010 в 17:30.
-
Антивирус перед выполнением скрипта отключите, чтобы он снова чего-нибудь не схавал
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\nsemrr.exe','');
DeleteFile('C:\WINDOWS\nsemrr.exe');
QuarantineFile('C:\Documents and Settings\anna\restorer32_a.exe','');
DeleteFile('C:\Documents and Settings\anna\restorer32_a.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','restorer32_a');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 61
А я антивирус отключаю (в окне NOD'a кликаю "выход"). Значок в панели задач пропадает, но процесс NOD32KRN.EXE висит, и завершить его не получается. Что же мне uninstall антивируса делать?
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 61
Карантин выслал. Делаю новые логи.
--------------
Файл сохранён как 091027_101634_virus_4ae69e5217ead.zip
Размер файла 6065
MD5 9aab63b8e76c4d3192b646a577321851
-
Junior Member
- Вес репутации
- 61
Последний раз редактировалось Grower; 18.02.2010 в 17:30.
-
От Авиры еще что-то в логах осталось. А зверья более не наблюдаю.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 61
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\dmgr134.sys - Trojan-Ransom.Win32.Agent.ge ( DrWEB: Trojan.Winlock.366 )
- c:\windows\nsemrr.exe - Trojan-Downloader.Win32.Small.hao ( DrWEB: Trojan.DownLoader.38262, BitDefender: Trojan.Downloader.Small.AAJL, NOD32: Win32/TrojanDownloader.Nurech.NCH trojan, AVAST4: Win32:Small-JBG [Trj] )
-