Добрый вечер!
Процесс svchost.exe грузит систему на 100%.
Логи AVZ удалось сделать только в safe mode. В обычном режиме - катострофически медленно.
Проверьте пожалуйста, спасибо.
Добрый вечер!
Процесс svchost.exe грузит систему на 100%.
Логи AVZ удалось сделать только в safe mode. В обычном режиме - катострофически медленно.
Проверьте пожалуйста, спасибо.
Последний раз редактировалось Alexey_75; 18.12.2009 в 22:16.
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\Drivers\Beep.sys',''); QuarantineFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\siszyd32.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS',''); QuarantineFile('C:\WINDOWS\system32\Drivers\ejnhyg.sys',''); QuarantineFile('C:\WINDOWS\system32\winlogon.exe',''); DeleteFile('C:\WINDOWS\system32\Drivers\ejnhyg.sys'); DeleteFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\siszyd32.exe'); BC_ImportALL; ExecuteSysClean; BC_DeleteFile('C:\WINDOWS\system32\Drivers\ejnhyg.sys'); BC_Activate; RebootWindows(true); end.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам.
Замените файл
По этой инструкции.Код:C:\WINDOWS\System32\Drivers\Beep.SYS
Сделайте новые логи
Пишу пост уже с другой машины, т.к. заражённая после применения скрипта отказалась загружаться. В обычном режиме - просто тёмный дисплей без признаков движения, в сейф-моде загрузка останавливается примерно на половине списка (отключаемых?) драйверов.
Переустановка?
Восстановил систему с помощью консоли восстановления.
Запрошенный карантин:
Файл сохранён как 091218_203720_quarantine_4b2bbdd0e3655.zip
Размер файла 955137
MD5 6802320a1e58833960ce176a9b4ede50
Новые логи в атт.
Посмотрите, а я пока установлю СП3
Последний раз редактировалось Alexey_75; 18.12.2009 в 22:16.
Скачайте свежий AVZ (актуальная версия 4.32), обновите базы (Файл-Обновление баз), повторите логи
The Truth is Out There
Обновил. Новые логи в атт. Антивирус ругался на обнаруженный руткит, в свою очередь KidoKiller ничего не нашёл, я на всякий случай сделал лог Gmer.
Последний раз редактировалось Alexey_75; 06.02.2010 в 14:16.
Отключите восстановление системы!
Сохраните текст ниже как cleanup.bat в ту же папку, где находится bncjtigj.exe (gmer)
И запустите cleanup.batКод:bncjtigj.exe -del service ejnhyg bncjtigj.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ejnhyg" bncjtigj.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ejnhyg" bncjtigj.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\ejnhyg" bncjtigj.exe -reboot
Компьютер перезагрузится. Лог Gmer повторите
The Truth is Out There
За "отключить восстановление системы", извините, просто вылетело из головы.
При выполнении команды батника по удалению сервиса, выдаётся мессаг:
"Delete Service: Параметр задан неверно."
При выполнении команды батника по удалению ветки реестра, выдаётся мессаг:
"Delete Key: Параметр задан неверно"
При попытке вручную удалить ветки реестра, выдаётся мессаг:
"Не удаётся открыть "ejnhyg". Ошибка при чтении раздела"
Антивирус по прежнему ругаетсся на руткит ejnhyg.sys
Новый лог Гмер сделаю уже завтра....
Всем доброго дня!
"Руткит не столб, перепрыгнуть нельзя, обойти можно!"
Как я сразу не догодался...?
Берём Hiren's Boot CD, загружаемся с него, VC4.99+NTFSPro, грохаем C:\Windows\system32\drivers\ejnhyg.sys
Перезагружаемся уже под виндой, и благополучно, без проблем, прибиваем указанные разделы реестра!
Кстати, после удаления руткита куда-то исчез раздел ControlSet002. Его просто нет... а до удаления руткита был...
Всем спасибо, тема закрыта!
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 14
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\user\главное меню\программы\автозагрузка\siszyd32.exe - Backdoor.Win32.Bredolab.bke ( DrWEB: Trojan.DownLoad1.14707, AVAST4: Win32:Malware-gen )
- c:\windows\explorer.exe:userini.exe:$data - Trojan-Dropper.Win32.Agent.bjan ( DrWEB: Trojan.Spambot.6739, BitDefender: Trojan.Generic.CJ.AGGO, NOD32: Win32/SpamTool.Tedroo.AF trojan, AVAST4: Win32:Bredolab-BD [Trj] )
- c:\windows\system32\drivers\beep.sys - Trojan-Proxy.Win32.Puma.bpn ( DrWEB: Trojan.NtRootKit.4877 )
Уважаемый(ая) Alexey_75, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.