Перед входом в windows появился черный экран где просилось прислать смс. Зайти никак не получилось, но на компьютере стоит чистая виндоуз, через нее отсканировал и выкладываю логи
Перед входом в windows появился черный экран где просилось прислать смс. Зайти никак не получилось, но на компьютере стоит чистая виндоуз, через нее отсканировал и выкладываю логи
Профиксить:
После попробовать сделать логи с зараженной системы.Код:F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,D:\WINDOWS\system32\sdra64.exe,
Эту, кстати, тоже надо будет подлечить. В ней D:\WINDOWS\System32\Drivers\sfc.SYS заражен.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Сделал логи в безопасном режиме, так как в обычном вирус диспетчер задач заблокировал. Правда, без интернета делал, но может что-нибудь получилось)
выполните скрипт
пришлите карантин согласно приложения 3 правилКод:begin QuarantineFile('C:\WINDOWS\system32\mssfc.dll',''); QuarantineFile('C:\WINDOWS\system32\user32.exe',''); QuarantineFile('C:\WINDOWS\system32\MRS.exe',''); QuarantineFile('C:\WINDOWS\system32\5f1b08d0.exe',''); QuarantineFile('%SystemRoot%\system32\user32.exe',''); QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\0w9H9fD0.sys',''); QuarantineFile('D:\Documents and Settings\ил\Мои документы\ktxbkrf\b3yzn45x.exe',''); QuarantineFile('d:\documents and settings\ил\Мои документы\ktxbkrf\b3yzn45x.exe',''); QuarantineFile('c:\docume~1\9335~1\locals~1\temp\rarsfx0\88nd6xp.exe',''); DeleteFile('c:\docume~1\9335~1\locals~1\temp\rarsfx0\88nd6xp.exe'); DeleteFile('d:\documents and settings\ил\Мои документы\ktxbkrf\b3yzn45x.exe'); DeleteFile('D:\Documents and Settings\ил\Мои документы\ktxbkrf\b3yzn45x.exe'); DeleteFile('%SystemRoot%\system32\user32.exe'); DeleteFile('C:\WINDOWS\system32\5f1b08d0.exe'); DeleteFile('C:\WINDOWS\system32\MRS.exe'); DeleteFile('C:\WINDOWS\system32\user32.exe'); DeleteFile('C:\WINDOWS\system32\mssfc.dll'); ExecuteRepair(16); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
сделайте логи в нормальном режиме
Логи сделал, карантин отсылаю.)
Последний раз редактировалось VVizz; 15.02.2010 в 13:21.
Был ли получен карантин? Когда закончил отсылать, вышла только надпись загрузка завершена.
карантин получен.
Добавлено через 4 минуты
Профиксить:
Выполнить скрипт:Код:F2 - REG:system.ini: Shell=%SystemRoot%\system32\user32.exe F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\5f1b08d0.exe,\\?\globalroot\systemroot\system32\X1yqnDD.exe,
Повторить логи.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\user32.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS',''); RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak'); CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.dll'); QuarantineFile('C:\WINDOWS\System32\sfcfiles.bak',''); DeleteFile('C:\WINDOWS\system32\user32.exe'); DeleteFile('C:\WINDOWS\system32\5f1b08d0.exe'); DeleteFile('C:\WINDOWS\system32\user32.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Новый, маленький карантин прислать.
Последний раз редактировалось PavelA; 15.02.2010 в 13:37. Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Вот.
что с проблемами ?
Все работает нормально, спасибо огромное)
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 10
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\sfcfiles.bak - Trojan.Win32.Patched.fr ( DrWEB: Trojan.WinSpy.570, AVAST4: Win32:Patched-KP [Trj] )
- c:\windows\system32\user32.exe - Packed.Win32.Krap.w ( DrWEB: Trojan.Winlock.179, BitDefender: Trojan.Generic.3170191, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\5f1b08d0.exe - Trojan.Win32.Agent.digq ( DrWEB: Trojan.Packed.19720, BitDefender: Trojan.Generic.3064733, AVAST4: Win32:Rootkit-gen [Rtk] )
- d:\windows\system32\sdra64.exe - Packed.Win32.Krap.ar ( DrWEB: Trojan.Packed.19706, BitDefender: Gen:Heur.Krypt.1, AVAST4: Win32:Malware-gen )
Уважаемый(ая) VVizz, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.