Показано с 1 по 13 из 13.

Очень странные симптомы вируса! (заявка № 58391)

  1. #1
    Junior Member Репутация
    Регистрация
    26.10.2009
    Сообщений
    7
    Вес репутации
    27

    Question Очень странные симптомы вируса!

    У меня пару странный вирус. Пробовал искать/лечить как указано в правилах, не помогает. ДВэб не работает, Касперский тулл вырубается сам не закончив проверку. Вот логи из АВЗ. Вирус проявляется только при включенной сети.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1359
    Выполните скрипт, компьютер перезагрузится.
    Карантин по правилам.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Windows\svrse.exe','');
     QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\Администратор.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\Document Building Blocks\1025\Build\index\ctfmon.pif','');
     QuarantineFile('C:\WINDOWS\system32\dllcache\qxchost.exe','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Ntfs.sys','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\Document Building Blocks\1025\Build\index\ctfmon.pif');
     DeleteFile('C:\Documents and Settings\Администратор\Администратор.exe');
     DeleteFile('C:\Windows\svrse.exe');
     DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\drwuninst.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\SYS83.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки - еще один скрипт
    Код:
    var j:integer; NumStr:string;
    begin
    for j:=0 to 999 do
     begin
        if j=0 then
            NumStr:='CurrentControlSet' else 
            if j<10 then
                NumStr:='ControlSet00'+IntToStr(j) else
                if j<100 then
                    NumStr:='ControlSet0'+IntToStr(j) else
                    NumStr:='ControlSet'+IntToStr(j);
     if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
      begin
      RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
      RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
      AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
      end;
     if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
      begin 
      RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
      RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
      AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
      end;
     end;
    SaveLog(GetAVZDirectory + 'fystemRoot.log');
    end.
    fystemRoot.log выложите в тему.
    Последний раз редактировалось Alex_Goodwin; 26.10.2009 в 22:00.

  4. #3
    Junior Member Репутация
    Регистрация
    26.10.2009
    Сообщений
    7
    Вес репутации
    27
    сделал!

    [микропрограмма лечения]> изменен параметр ImagePath ключа HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\BITS
    Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\CurrentControlSet\Services\BITS исправлено на оригинальное.
    [микропрограмма лечения]> изменен параметр ImagePath ключа HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\wuauserv
    Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\CurrentControlSet\Services\wuauserv исправлено на оригинальное.
    [микропрограмма лечения]> изменен параметр ImagePath ключа HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\B ITS
    Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\ControlSet001\Services\BITS исправлено на оригинальное.
    [микропрограмма лечения]> изменен параметр ImagePath ключа HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\w uauserv
    Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\ControlSet001\Services\wuauserv исправлено на оригинальное.
    [микропрограмма лечения]> изменен параметр ImagePath ключа HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\B ITS
    Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\ControlSet002\Services\BITS исправлено на оригинальное.
    [микропрограмма лечения]> изменен параметр ImagePath ключа HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\w uauserv
    Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\ControlSet002\Services\wuauserv исправлено на оригинальное.

  5. #4
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,626
    Вес репутации
    2917
    Карантин выслали? Делайте повторные логи
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  6. #5
    Junior Member Репутация
    Регистрация
    26.10.2009
    Сообщений
    7
    Вес репутации
    27
    Вот то что просил.
    Вложения Вложения

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,461
    Вес репутации
    907
    Цитата Сообщение от Ингвар25 Посмотреть сообщение
    Вот то что просил.
    Где еще два лога? Карантина нету...

  8. #7
    Junior Member Репутация
    Регистрация
    26.10.2009
    Сообщений
    7
    Вес репутации
    27
    После скриптов карантин не появлялся.

  9. #8
    Junior Member Репутация
    Регистрация
    26.10.2009
    Сообщений
    7
    Вес репутации
    27
    1
    Вложения Вложения

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1359
    выполните скрипт, карантин по правилам:
    Код:
    begin
     QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
     QuarantineFile('C:\WINDOWS\system32\xRaidSetup.exe','');
     QuarantineFile('C:\Program Files\Internet Explorer\Connection Wizard\icwsetup.exe','');
     QuarantineFile('C:\WINDOWS\system32\dllcache\qxchost.exe','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Ntfs.sys','');
     QuarantineFile('c:\windows\system32\lsass.exe','');
     QuarantineFile('caacmxp.exe','');
     DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\drwuninst.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\SYS83.exe');
    ExecuteSysClean;
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    компьютер перезагрузится.
    Последний раз редактировалось Alex_Goodwin; 26.10.2009 в 23:48.

  11. #10
    Junior Member Репутация
    Регистрация
    26.10.2009
    Сообщений
    7
    Вес репутации
    27
    карантин закачал

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1359
    Выполните скрипт:
    Код:
    begin
     DeleteFile('C:\WINDOWS\system32\regedit.exe',);
     DeleteFile('C:\WINDOWS\system32\xRaidSetup.exe',);
     DeleteFile('C:\Program Files\Internet Explorer\Connection Wizard\icwsetup.exe',);
     DeleteFile('C:\WINDOWS\system32\dllcache\qxchost.exe',);
    DeleteFile('caacmxp.exe',);
    ExecuteSysClean;
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки выполните sfc /scannow
    потом - новые логи.

    Добавлено через 30 минут

    сделайте лог http://virusinfo.info/showthread.php?t=40118
    Последний раз редактировалось Alex_Goodwin; 27.10.2009 в 00:18. Причина: Добавлено

  13. #12
    Junior Member Репутация
    Регистрация
    26.10.2009
    Сообщений
    7
    Вес репутации
    27
    вот лог от гмера
    Вложения Вложения

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,555
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 14
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Ингвар25, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Помогите, пожалуйста - странные симптомы.
      От Паттттт в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 13.05.2012, 22:18
    2. Симптомы вируса
      От Greyhound в разделе Помогите!
      Ответов: 0
      Последнее сообщение: 12.02.2011, 14:04
    3. Ответов: 2
      Последнее сообщение: 08.11.2010, 17:38
    4. Странные симптомы
      От otell в разделе Вредоносные программы
      Ответов: 5
      Последнее сообщение: 17.08.2009, 13:54
    5. Симптомы Conficker.AA
      От Wildflower в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 19.07.2009, 14:58

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00916 seconds with 23 queries