-
Junior Member
- Вес репутации
- 55
Система дико тормозит.
НОД понаходил 11 зараженных файлов удалил, но что-то осталось и гадит по тихому.
+
После установки 3 СП стала просит активацию, но активироваться не даеться, приложение не вызываеться.
А в логах есть запись, о том что необходимый для акивации файл не найден.
+
Система тормозит
Последний раз редактировалось Бумбарам; 16.05.2010 в 00:41.
йцукен
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксить в Hijack следующие строки:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ldr.exe,C:\WINDOWS\system32\ndetect.exe
O20 - Winlogon Notify: kerberos4 - C:\WINDOWS\
Выполнить скрипт
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DDR\Setup.exe','');
QuarantineFile('C:\Program Files\Webalta\WebaltaUpdaterService.exe','');
SetServiceStart('WebaltaController', 4);
DeleteService('WebaltaController');
StopService('WebaltaController');
QuarantineFile('C:\WINDOWS\system32\drivers\byszctaqvo.sys','');
SetServiceStart('opcrjuovuhxonfn', 4);
DeleteService('opcrjuovuhxonfn');
StopService('opcrjuovuhxonfn');
QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
SetServiceStart('protect', 4);
DeleteService('protect');
StopService('protect');
QuarantineFile('C:\WINDOWS\TEMP\3D9C.tmp','');
SetServiceStart('{DEF85C80-216A-43ab-AF70-1665EDBE2780}', 4);
DeleteService('{DEF85C80-216A-43ab-AF70-1665EDBE2780}');
StopService('{DEF85C80-216A-43ab-AF70-1665EDBE2780}');
QuarantineFile('C:\WINDOWS\system32\ldr.exe','');
QuarantineFile('C:\WINDOWS\system32\ndetect.exe','');
DeleteFile('C:\WINDOWS\system32\ndetect.exe');
DeleteFile('C:\WINDOWS\system32\ldr.exe');
DeleteFile('C:\WINDOWS\TEMP\3D9C.tmp');
DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
DeleteFile('C:\WINDOWS\system32\drivers\byszctaqvo.sys');
DeleteFilemask('C:\Program Files\Webalta','*.*',true);
DeleteDirectory('C:\Program Files\Webalta');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
затем следующий
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
файл quarantine.zip закачайте по ссылке Прислать запрошенный карантин
в шапке Вашей темы.
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
-
-
Junior Member
- Вес репутации
- 55
Новые логи.
Карантин отправил.
Последний раз редактировалось Бумбарам; 16.05.2010 в 00:41.
йцукен
-
Выполните скрипт
Код:
begin
SetAVZPMStatus(True);
RebootWindows(true);
end.
Сделайте логи АВЗ и лог Gmer
-
-
Junior Member
- Вес репутации
- 55
Вот логи.
В момен выполнения скриптов, вылетел виндовый проводник, позакрывались все приложения кроме АВЗ.
Нод тоже закрылся, остался только один процесс НОДА их обычно 2.
Последний раз редактировалось Бумбарам; 16.05.2010 в 00:41.
йцукен
-
Выполните скрипт
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DDR\Setup.exe','');
DeleteFile('C:\WINDOWS\System32\drivers\klif.sys');
DeleteFile('C:\DDR\Setup.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
ExecuteWizard('PRT', 2, 2, true);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Сделайте новый лог virusinfo_syscheck.zip и лог MBAM
-
-
Junior Member
- Вес репутации
- 55
Последний раз редактировалось Бумбарам; 16.05.2010 в 00:41.
йцукен
-
Удалите в MBAM
Код:
Заражено ключей реестра:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\{def85c80-216a-43ab-af70-1665edbe2780} (Backdoor.Sinowal) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\asc3550o (Rootkit.Agent) -> No action taken.
Заражено значений реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bf (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bk (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\iu (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\mu (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Services\del (Malware.Trace) -> No action taken.
Заражено параметров реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
Заражено папок:
C:\Documents and Settings\LocalService\Application Data\wsnpoem (Trojan.Agent) -> No action taken.
C:\Documents and Settings\NetworkService\Application Data\wsnpoem (Trojan.Agent) -> No action taken.
C:\Documents and Settings\secretar\Application Data\wsnpoem (Trojan.Agent) -> No action taken.
C:\Program Files\Microsoft Common (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\wsnpoem (Trojan.Agent) -> No action taken.
Заражено файлов:
C:\Documents and Settings\LocalService\Application Data\wsnpoem\audio.dll (Trojan.Agent) -> No action taken.
C:\Documents and Settings\NetworkService\Application Data\wsnpoem\audio.dll (Trojan.Agent) -> No action taken.
C:\Documents and Settings\secretar\Application Data\wsnpoem\audio.dll (Trojan.Agent) -> No action taken.
C:\Documents and Settings\secretar\Application Data\wsnpoem\video.dll (Trojan.Agent) -> No action taken.
C:\Program Files\Microsoft Common\emails.dat (Trojan.Agent) -> No action taken.
C:\Program Files\Microsoft Common\log.dat (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\wsnpoem\audio.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\wsnpoem\audio.dll.cla (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\wsnpoem\video.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\klo5.sys (Stolen.data) -> No action taken.
C:\WINDOWS\system32\ps.a3d (Stolen.data) -> No action taken.
C:\WINDOWS\system32\svcp.csv (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\winsub.xml (Malware.Trace) -> No action taken.
Сделайте новый лог MBAM
-
-
Junior Member
- Вес репутации
- 55
Все выличелось, лог был чистый посему не прилагаю.
Всем спасибо.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 17
- В ходе лечения вредоносные программы в карантинах не обнаружены
-