В центре экрана появился баннер: "заблокирован доступ в сеть". И-нет не работает, антивирус (ESET NOD32) не видит ничего. Переведя время в BIOSе убрал сам, баннер, но что делать дальше не знаю.
Подскажите, плз, что делать.
В центре экрана появился баннер: "заблокирован доступ в сеть". И-нет не работает, антивирус (ESET NOD32) не видит ничего. Переведя время в BIOSе убрал сам, баннер, но что делать дальше не знаю.
Подскажите, плз, что делать.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
В HiJackThis пофиксите:
В AVZ выполните скрипт:Код:F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe O2 - BHO: flvdirect - {54048d38-dac1-489f-9737-eab8993117a8} - C:\WINDOWS\system32\9KuMDJsyzcoQE.dll O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll (file missing) O3 - Toolbar: QT TabBar - {d2bf470e-ed1c-487f-a333-2bd8835eb6ce} - mscoree.dll (file missing) O3 - Toolbar: QT Tab Standard Buttons - {D2BF470E-ED1C-487F-A666-2BD8835EB6CE} - mscoree.dll (file missing) O3 - Toolbar: QTToolBar2 - {a84524f0-d48b-4cff-8012-5e67decaf1d5} - mscoree.dll (file missing) O4 - HKLM\..\RunServices: [csrcs] C:\WINDOWS\system32\csrcs.exe O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
После перезагрузкиКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); TerminateProcessByName('c:\windows\system32\csrcs.exe'); DelBHO('{54048d38-dac1-489f-9737-eab8993117a8}'); QuarantineFile('C:\WINDOWS\system32\9KuMDJsyzcoQE.dll',''); QuarantineFile('C:\WINDOWS\system32\midimap.dll',''); QuarantineFile('C:\WINDOWS\system32\csrcs.exe',''); DeleteService('userinit'); QuarantineFile('c:\windows\system32\usеrinit.exe',''); QuarantineFile('c:\windows\system32\csrcs.exe',''); DeleteFile('c:\windows\system32\csrcs.exe'); DeleteFile('c:\windows\system32\usеrinit.exe'); DeleteFile('C:\WINDOWS\system32\csrcs.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','csrcs'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs'); DeleteFile('C:\WINDOWS\system32\9KuMDJsyzcoQE.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(16); ExecuteRepair(8); ExecuteWizard('TSW',3,3,true); RebootWindows(true); end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Логи повторите
готово, отправил. что дальше делать?
Готово
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
В HiJackThis пофиксите:
Код:F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe O4 - HKLM\..\RunServices: [csrcs] C:\WINDOWS\system32\csrcs.exe O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe O23 - Service: userinit - Unknown owner - \\.\globalrootC:\WINDOWS\system32\usеrinit.exe (file missing)
В AVZ выполните скрипт:
После перезагрузкиКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); TerminateProcessByName('c:\windows\system32\csrcs.exe'); DeleteService('userinit'); QuarantineFile('globalroot\systemroot\system32\usеrinit.exe',''); QuarantineFile('c:\windows\system32\csrcs.exe',''); DeleteFile('c:\windows\system32\csrcs.exe'); BC_DeleteFile('c:\windows\system32\csrcs.exe'); DeleteFile('globalroot\systemroot\system32\usеrinit.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','csrcs'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(16); ExecuteRepair(8); ExecuteWizard('TSW',2,2,true); RebootWindows(true); end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Логи повторите
C:\WINDOWS\system32\rserver30\RServer3.exe - R-Admin сами ставили?
готово.
Да, Радмин моих рук дело=)
Последний раз редактировалось KANGOL; 16.02.2010 в 17:27.
вот правильные логи
Базы обновите. Логи переделайте.
угумс, готово.
С флешкой вставленной все выполнять.
Выполнить скрипт:
Повторить логиКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\windows\system32\csrcs.exe',''); DeleteFile('C:\WINDOWS\system32\csrcs.exe'); DeleteFile('G:\autorun.inf'); DeleteFile('G:\KpQVSA.eXe'); DeleteFile('G:\kPQvsa.EXe'); DeleteFile('c:\windows\system32\csrcs.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
готово
Internet Explorer обновите. Плохого не заметил в логах. Дату системную нормальную поставьте. Проблема решена?
Выставил нормальную дату, похоже все ок! Спасибо огромное за помощь.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 19
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\csrcs.exe - Worm.Win32.AutoIt.tc ( DrWEB: archive: Win32.HLLW.Autoruner.based, BitDefender: Gen:Trojan.Heur.AutoIT.Xq3@bK1pn0lO )
- c:\windows\system32\usеrinit.exe - Trojan-Ransom.Win32.Agent.jd ( DrWEB: Trojan.Fakealert.10477, NOD32: Win32/Sirefef.Q trojan, AVAST4: Win32:Trojan-gen )
- c:\windows\system32\9kumdjsyzcoqe.dll - not-a-virus:AdWare.Win32.EZula.is
Уважаемый(ая) KANGOL, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.