Проблема с ПК, возможно вирус
День добрый! Стоит ESET NOD32. Просьба посмотреть логи, может кто что скажет. Так же при загрузки нод фиксирует
1. C:\Windows\System32\sdra64.exe - Модифицированный Win32/SpyZbot.RK троян
2. C:\Windows\System32\sdra64.exe - Модифицированный Win32/twex.exe - Модифицированный Win32/Kryptik.TJ троян
При этом этот ПК не видно из сети, многи службы отключены.. точнее с ошибкой запускаются и переходят в состояние Отключен
Логи AVZ прилагаются.
Заранее спасибо за помощь
Последний раз редактировалось forever; 19.04.2011 в 00:49.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1. Профиксите в HijackThis как "профиксить в HiJackThis"
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,C:\WINDOWS\system32\twex.exe,
Отключите
- ПК от интернета/локалки
- Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\twex.exe',''); QuarantineFile('C:\WINDOWS\system32\sdra64.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\RKKRVUWT.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\LTNVRRTT.sys',''); QuarantineFile('C:\WINDOWS\system32\rserver30\FamItrfc.Exe',''); QuarantineFile('c:\windows\system32\rserver30\rserver3.exe',''); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); DeleteFile('C:\WINDOWS\system32\twex.exe'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('SCU', 2, 2, true); RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
1. - Готово
2. - Готово
При загрузки карантина:
Ошибка загрузки. Данный файл уже был загружен
Карантин загружаю во вложенные файлы quarantine.zip. Другого выхода не нашёл...
Последний раз редактировалось forever; 19.04.2011 в 00:49.
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
Компьютер перезагрузится.Код:begin SetAVZGuardStatus(True); QuarantineFile('F:\autorun.inf',''); QuarantineFile('F:\SRECOMOJA\nemasmalo.exe',''); DeleteService('EventlogALG'); QuarantineFile('C:\WINDOWS\system32\wpv1160.cpx srv',''); DeleteFile('C:\WINDOWS\system32\wpv1160.cpx srv'); QuarantineFile('C:\WINDOWS\system32\wpv1160.cpx',''); DeleteFile('C:\WINDOWS\system32\wpv1160.cpx'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\AVG7','EventMessageFile'); DeleteFile('F:\SRECOMOJA\nemasmalo.exe'); DeleteFile('F:\autorun.inf'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
Установите на Windows Service Pack 3 (может потребоваться активация) и последующие обновления.
Сделал все как написали, единственное антивирус успел сьесть файл с карантина. отправляю то что осталось.
Ещё хотел спросить:
Все ли обновления предлагаемые от Майкрасофт нужно ставить, не будет ли это влиять на скорость работы ОС ??
Спасибо.
Лог загруженного вируса
Файл сохранён как100413_121634_virus_4bc4286238c15.zipРазмер файла1144MD5b8c5b5e855adbdd08733e51f3ec0dd3c
Последний раз редактировалось forever; 18.08.2010 в 12:22.
В логе чисто. Проблема решена?
Обновления надо все устанавливать, правда есть одно - Windows Genuine Advantage Validation Tool (Проверка подлинности Windows), которое вызовет проблемы, если поставить на пиратский Windows.
Извините что так долго отвечал. ПК проработал один день нормально на 2 день я поставил 3 СервиПак ХР. Винда Лицензионная Сервис Пак 1. Поставил ИЕ 8.. вообщем через день НОД32 начал снова ругаться..Сообщение от AndreyKa
Честно не знаю уже на что думать, то-ли юзер ходит в инет и цепляет заразу, может на флехи приносит..
Я завтра с утра оправлю Логи.. возможно что проблема осталась
Кстати если логи чистые я думаю что проблема была решена. Так как день ПК работал нормально.
Спасибо еще раз зав помощь!
Ждем новые логи
На днях к сожалению не получилось добраться до ПК. В понедельник логи выложу.
Извините за задержку.. просто ПК находятся физически далеко....
Нет проблем, подождём.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- f:\autorun.inf - Trojan.Win32.AutoRun.afz
Уважаемый(ая) forever, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
