-
Junior Member
- Вес репутации
- 53
Очередной eKav Antivirus K206514200:4460
Система почти полностью заблокирована, ничего не запускается даже в безопасном режиме, пытался запускать AVZ как полиморфные из одного файла, так и менять ЕХЕшник на .pif с другим именем, все равно при открытии окошка программы Виндовс тут же уходит на завершение работы, остальные антивирусы не запускаются вовсе, Hijack запускается делает логи (после чего компьютер в спешке самоперезагружается), логи из безопасного режима прилагаю.
Подключал жесткий диск к другому системному блоку, сканировал KIS2010 с обновлением баз от 11 утра сегодня, ничего не нашел.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите в HijackThis:
Код:
R3 - Default URLSearchHook is missing
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Program Files\ICQToolbar\toolbaru.dll (file missing)
O2 - BHO: vjwjsquP - {C4A9BDD1-CD85-4398-A370-C2C53E1C70EA} - C:\Documents and Settings\All Users\Application Data\vjwjsqu.dll (file missing)
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O20 - Winlogon Notify: crypt - C:\WINDOWS\
O20 - Winlogon Notify: rssync - C:\WINDOWS\
O20 - Winlogon Notify: xztyozp - C:\WINDOWS\
Но это просто "уборка мусора". Зловреда в этом логе не видно.
Попробуйте сделать лог gmer.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Смог запустил gmer только переименова ЕХЕшник и поставил расширение pif
Просканил систему, в конце написало что он нашел руткит, лог прилагаю.
-
Да, gmer показал то, что нужно.
Подождите немного, подумаем как с этим поступить...
I am not young enough to know everything...
-
-
Сделайте так. Зайдите в Гмер на закладку Files и зайдите в папку C:\WINDOWS\Cursors
там найдите выделенный красным файл C:\WINDOWS\Cursors\sizenwse.ani:RZyZ96m3 и скопируйте его куда-нибудь, чтобы прислать нам (прислать его надо будет предварительно добавив в карантин AVZ, и прислать, как написано в правилах).
затем сохраните текст ниже как start.bat в ту же папку, где находится gmer
и запустите start.bat
Код:
perdik.pif -del file "C:\WINDOWS\Cursors\sizenwse.ani:RZyZ96m3"
perdik.pif -reboot
Если имя файла Гмера меняли, то надо его и батнике поменять.
Компьютер перезагрузится. Попробуйте запустить AVZ, если запустится, то добавьте скопированный файл в карантин и пришлите по правилам. Потом сделайте логи AVZ.
Последний раз редактировалось Bratez; 07.01.2010 в 07:08.
-
-
Junior Member
- Вес репутации
- 53
батник не смог запустить, cmd было блокировано тоже, подключил жесткий диск к другому системному блоку, запустил с него скрипт на gmer-а, подключил обратно, запустил, пока следов вируса особо не видно, логи прилагаю.
Зловреда из карантина отправил.
-
Junior Member
- Вес репутации
- 53
С отсутствием проблем это я погорячился, в панели управления много чего не работает, например управление учетными записями и установка и удаление программ, так же не загружается ESET хотя присутствует в автозагрузке и до заражения загружался.
-
Отчет GSI (ссылка в подписи) сделайте
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Так, раз AVZ запускается - попробуйте выполнить такой скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('C4A9BDD1-CD85-4398-A370-C2C53E1C70EA');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\vjwjsqu.dll','');
QuarantineFile('C:\WINDOWS\Cursors\sizenwse.ani:RZyZ96m3','');
DeleteFile('C:\Documents and Settings\All Users\Application Data\vjwjsqu.dll');
DeleteFile('C:\WINDOWS\Cursors\sizenwse.ani:RZyZ96m3');
RegKeyStrParamWrite('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(StringReplace(RegKeyStrParamRead('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), 'C:\WINDOWS\Cursors\sizenwse.ani:RZyZ96m3', ''), ',,', ','));
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Система перезагрузится.
После перезагрузки - пришлите карантин и сделайте новые логи.
-
-
Junior Member
- Вес репутации
- 53
Скрипт запустил, архив с карантином отправил, ничего не изменилось в системе, логи прилагаю.
2thyrex,
я сделал лог, но не совсем понял что с ним сделать, на том компьютере, на котором случилась проблема сейчас не стоит ПО от Касперского, оно стоит на другой машинке где нет проблем, поэтому что писать на Хелпдеске я не понял, или Вам прицепить это здесь?
-
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Выполните скрипт AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
StopService('port135sik');
StopService('nicsk32');
StopService('FCI');
StopService('fips32cup');
QuarantineFile('C:\WINDOWS\system32\mod_logonui.exe','');
QuarantineFile('C:\Documents and Settings\Надя\Application Data\5.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys','');
QuarantineFile('FCI.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\FCI.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\FCI.sys');
DeleteFile('FCI.sys');
DeleteFile('C:\Documents and Settings\Надя\Application Data\5.exe');
DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('port135sik');
BC_DeleteSvc('nicsk32');
BC_DeleteSvc('FCI');
BC_DeleteSvc('fips32cup');
SetAVZPMStatus(true);
ExecuteRepair(11); {разблокировка диспетчера задач}
ExecuteRepair(17); {разблокировка редактора реестра}
BC_Activate;
RebootWindows(true);
end.
Система перезагрузится.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи согласно Правил (Диагностика)
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антивирус и Файрвол
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно Правил (Приложение 3).
- Прикрепите новые логи к новому сообщению в этой ветке.
Добавлено через 58 секунд
или Вам прицепить это здесь
именно
Последний раз редактировалось gjf; 07.01.2010 в 22:56.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 53
Выгрузил все программы которые смог, выполнил скрипт, теперь при входе в систему система находит новое устройство "Нет данных" и предлагает поискать для него драйвера.
Карантин отправил, логи после выполнения скрипта прикладываю + GSI
-
Больше ничего вредоносного в логах не видно.
Вы можете отблагодарить хелперов, которые Вам помогли, нажав им на кнопку "Спасибо", а также и весь проект VirusInfo вот тут.
Рекомендуется изменить все используемые пароли, поскольку теоретически зловред мог их отправить злоумышленникам. Также, рекомендуется провести полную проверку системы антивирусом.
В обязательном порядке установите Сервис Пак 3 - возможно потребуется активация. Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
Установите все последние обновления системы Windows и используемых программ. И вообще, постарайтесь выполнить все советы, указанные здесь - это максимально отдалит время нашей следующей с Вами встречи
-
-
Удалите в реестре.
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{98771a66-e011-4a7d-bb11-60b405cdb651}
C:\Program Files\ESET
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{c173f217-5609-4a48-9095-9b714ffbe408}
C:\Program Files\ESET
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{e8c0684c-62fb-4073-83fd-a9086bd0dfa8}
C:\Program Files\ESET
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{44013895-cc50-4ce2-ae95-b9d1322de4a2}
C:\Program Files\ESET
Это разблокирует антивирус
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Спасибо =) Система все равно после недельной борьбы выглядит плачевно, не загружается управление пользователями, установка и удаление программ, невозможно перезагрузить или выключить компьютер, выбрасывает критическую ошибку Exlporer.exe, при попытке накатить СП3 система просто перезагрузилась =)
Пожалуй просто переустановлю операционку сразу с СП3 и KIS2010 и буду надеятся что в следующий раз пронесет =)
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 16
- В ходе лечения обнаружены вредоносные программы:
- d:\новая папка\sizenwse.ani - Trojan-Downloader.Win32.Piker.bhi ( AVAST4: Win32:Trojan-gen )
-