-
Junior Member
- Вес репутации
- 54
Подчистить последствия вирусов
На ПК проверял на вирусы. Вновь установленный в систему AVPTool нашел несколько троянов, убил их. Нашел AutoRun какой то неубиваемый. Что-то долго чистил его. После перезагрузки опять стали появлятьс в корне С неубиваемые папки и ссылки. Прошелся в защищенном режиме CureIT. Убилась кучка троянов.
Загрузился с WinLiveCD. Прошелся AVPTool. Наконец то он все е убил AutoRun.
Загрузился в защищенном режиме. Сделал логи.
Нашел в msconfig строку автозапуска библиотеки NvCpl64.dll (при запуске Пк ругался, что такой файл отсутствует), убрал галочку, нашел строку автозапуска C:\windows\system32\A96014\454B34.exe убрал галку с него.
В папке system32 есть скрытые папки A96014, 7454B3 и DE1545. По размеру они не пустые.
Но на ПК не показываются системные файлы (скрытые показываются), AVZ в этот помочь не смог.
Выкладываю логи с защищенного режима.
Последний раз редактировалось Lqaz; 25.04.2010 в 13:13.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 54
Выкладываю также логи с нормального режима.
Последний раз редактировалось Lqaz; 25.04.2010 в 13:14.
-
Junior Member
- Вес репутации
- 54
Прошу помощи. Неужели все заняты?
Добавлено через 4 часа 18 минут
Гуру! Помогите плиз, почти сутки жду ответа, ПК выключен.
Добавлено через 3 часа 18 минут
Неужели так никто и не поможет?
Последний раз редактировалось Lqaz; 19.01.2010 в 14:58.
Причина: Добавлено
-
Пофиксите в Hijackthis:
Код:
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: Thunder5BHO - {00000231-1000-0010-8000-00AA006D2EA4} - C:\WINDOWS\system32\WinXP.bmp (file missing)
O2 - BHO: MS Media Module - {2AA3938C-7F43-43C6-B6A4-87572B678596} - %APPDATA%\msmedia.dll (file missing)
O2 - BHO: (no name) - {88888888-8888-8888-8888-888888888888} - (no file)
O20 - AppInit_DLLs: C:\WINDOWS\system32\IPv6.dll
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Anna\Application Data\msmedia.dll','');
DelBHO('{2AA3938C-7F43-43C6-B6A4-87572B678596}');
QuarantineFile('C:\WINDOWS\system32\WinXP.bmp','');
QuarantineFile('C:\WINDOWS\system32\cryptnet21.dll','');
QuarantineFile('C:\WINDOWS\system32\IPv6.dll','');
QuarantineFile('C:\WINDOWS\system32\NvCpl64.dll','');
QuarantineFile('C:\WINDOWS\system32\A96014\454B34.EXE','');
DeleteFile('C:\WINDOWS\system32\A96014\454B34.EXE');
DeleteFile('C:\WINDOWS\system32\IPv6.dll');
DeleteFile('C:\WINDOWS\system32\WinXP.bmp');
DeleteFile('C:\Documents and Settings\Anna\Application Data\msmedia.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!!!
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам
-
-
Junior Member
- Вес репутации
- 54
Спасибо большое. Завтра на работе проверю....
-
Junior Member
- Вес репутации
- 54
Выполнил все.
Выкладываю логи и карантин.
Библиотеку C:\WINDOWS\system32\cryptnet21.dll я вроде убил.
Последний раз редактировалось Lqaz; 25.04.2010 в 13:14.
-
Junior Member
- Вес репутации
- 54
Гуру! Посмотрите -есть там еще что-нибудь или нет?
-
Junior Member
- Вес репутации
- 54
Ребят! Ну за сутки то кто-нибудь, хоть посмотрите...
-
Junior Member
- Вес репутации
- 54
Неужели никто не поможет?
-
C:\WINDOWS\system32\cryptnet21.dll -Backdoor.Win32.Agent.tpr
Выполнить скрипт:
Код:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
BC_DeleteFile('C:\WINDOWS\system32\cryptnet21.dll');
BC_Activate;
RebootWindows(true);
end.
Логи повторить.
после лечения надо СП3 ставить.
З.Ы. Аврал у нас тут, да еще и выходные. Мы же здесь добровольно работает, а кроме этого д...ма есть еще работа,дом семья.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 54
Ок. Спасибо! Понимаю.....
-
Junior Member
- Вес репутации
- 54
Выполнил.
Логи прикладываю.
Последний раз редактировалось Lqaz; 25.04.2010 в 13:14.
-
Junior Member
- Вес репутации
- 54
Осталась там какая нить зараза?
-
Ничего плохого.
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Рекомендуется установить Service Pack 3 с последними обновлениями (может потребоваться активация!), также обновите Internet Explorer до 8 версии.
-
-
Junior Member
- Вес репутации
- 54
ОК.
Спасибо....
Убедительная просьба-кто знает где можно гарантированно скачивать отдельно все выходящие обновления Microsoft? Т.к. не все организации богатые, чтобы каждую машину обновлять через Инет.
(если это оффтоп, то сорри!)
-
-
-
Junior Member
- Вес репутации
- 54
Спасибо.
А WSUS будет работать не в домене?
Есть ли где нибудь почитать о нем по русски нормально? На родном сайте только одна статья на русском и то убогая.
Нашел на Ру-боард обсудение. Ужаснуло то, что у WSUS делается база двухзыкова и обновления на ось могут достигать более десятки гиг. С нашими скоростями я такое не выкачаю. А если на платном тарифе, то оставлю организации банкротами.
Последний раз редактировалось Lqaz; 28.01.2010 в 12:33.
-
Можно выбрать по минимуму - только критические обновления и обновления безопасности. И не закачивать их все автоматом, а руками одобрять подходящее.
Вне домена - работает.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 26
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\cryptnet21.dll - Backdoor.Win32.Agent.tpr ( DrWEB: Trojan.DownLoad.38431, BitDefender: Trojan.Agent.7274, NOD32: Win32/AutoRun.IY worm, AVAST4: Win32:Trojan-gen )
-