Добрый вечер.
снес srnh.lto
остался эротический банер с смс 3381
при запуске avz комп перезагружается
Добрый вечер.
снес srnh.lto
остался эротический банер с смс 3381
при запуске avz комп перезагружается
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\Администратор.DBTSSK2J.000\Local Settings\Temp\uefpkn.dll',''); QuarantineFile('C:\Documents and Settings\Администратор.DBTSSK2J.000\Local Settings\Temp\ngatvi.dll',''); QuarantineFile('C:\Documents and Settings\Администратор.DBTSSK2J.000\Local Settings\Temporary Internet Files\Content.IE5\SPMNWTAR\HelpLA_lib[1].js',''); QuarantineFile('C:\WINDOWS\system32\BSwitch.ax:XJQ6UjNz1YH',''); QuarantineFile('C:\WINDOWS\Help\wordpad.chm:XJQ6UjNz1YH',''); QuarantineFile('C:\WINDOWS\Help\compmgmt.chm:XJQ6UjNz1YH',''); QuarantineFile('C:\Documents and Settings\Администратор.DBTSSK2J.000\Local Settings\Temporary Internet Files\Content.IE5\4TQVOPI3\wbk3.tmp',''); QuarantineFile('C:\WINDOWS\system32\ix.dll',''); QuarantineFile('C:\WINDOWS\system32\BSwitch.ax:XJQ6UjNz1YH:$DATA',''); QuarantineFile('C:\WINDOWS\Help\wordpad.chm:XJQ6UjNz1YH:$DATA',''); QuarantineFile('C:\WINDOWS\Help\compmgmt.chm:XJQ6UjNz1YH:$DATA',''); DeleteFile('C:\WINDOWS\Help\compmgmt.chm:XJQ6UjNz1YH:$DATA'); DeleteFile('C:\WINDOWS\Help\wordpad.chm:XJQ6UjNz1YH:$DATA'); DeleteFile('C:\WINDOWS\system32\BSwitch.ax:XJQ6UjNz1YH:$DATA'); DeleteFile('C:\WINDOWS\system32\BSwitch.ax:XJQ6UjNz1YH'); DeleteFile('C:\WINDOWS\Help\wordpad.chm:XJQ6UjNz1YH'); DeleteFile('C:\WINDOWS\Help\compmgmt.chm:XJQ6UjNz1YH'); DeleteFileMask('C:\Documents and Settings\Администратор.DBTSSK2J.000\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true); BC_ImportAll; ExecuteSysClean; ExecuteRepair(11); ExecuteRepair(17); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
не помогло
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\wddnup.dll',''); DeleteFile('C:\WINDOWS\system32\ix.dll'); DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\wddnup.dll'); DeleteFile('C:\Documents and Settings\Администратор.DBTSSK2J.000\Local Settings\Temp\uefpkn.dll'); DeleteFile('C:\Documents and Settings\Администратор.DBTSSK2J.000\Local Settings\Temp\ngatvi.dll'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(11); ExecuteRepair(17); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
Помогло, комп больше не перезагружается и программы запускаются.
Антивирус не работает, и не хочет запускаться: "Невозможно открыть данную программу из-за политики ограничения примемения програмного обеспечения."
Что можно сделать чтобы такого заражения больше не было?
Вот логи Agintum Outpost Security Pro
2010/05/16 22:34:02 <SVCHOST.EXE:1780> create_process (allow) "c:\documents and settings\user\local settings\application data\google\update\googleupdate.exe" [0/000081a0]
2010/05/16 23:00:42 <CHROME.EXE:2612> create_process (allow) "c:\program files\java\jre6\bin\java.exe" [0/00009b8c]
2010/05/16 23:00:44 <CHROME.EXE:700> create_process (allow) "c:\program files\adobe\reader 8.0\reader\acrord32.exe" [0/00009b94]
2010/05/16 23:04:21 <ACRORD32.EXE:1436> create_process (allow) "c:\documents and settings\user\local settings\temp\orgf.exe" [0/00009b98]
2010/05/16 23:04:30 <ORGF.EXE:1384> create_process (allow) "c:\windows\system32\rundll32.exe" [0/00009b9c]
2010/05/16 23:04:40 <RUNDLL32.EXE:3680> change_object (allow) "\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs" [0/00009ba0]
2010/05/16 23:04:40 <RUNDLL32.EXE:3680> change_object (allow) "\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs" [0/00009ba4]
2010/05/16 23:04:40 <RUNDLL32.EXE:3680> change_object (allow) "\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs" [0/00009ba8]
2010/05/16 23:04:40 <RUNDLL32.EXE:3680> change_object (allow) "\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs" [0/00009bac]
2010/05/16 23:04:40 <RUNDLL32.EXE:3680> change_object (allow) "\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs" [0/00009bb0]
2010/05/16 23:04:40 <RUNDLL32.EXE:3680> change_object (allow) "\REGISTRY\USER\S-1-5-21-3151332251-3434617319-4261484447-1006\Software\Microsoft\Windows\CurrentVersion\Pol icies\System" [0/00009bb4]
2010/05/16 23:04:40 <RUNDLL32.EXE:3680> change_object (allow) "\REGISTRY\USER\S-1-5-21-3151332251-3434617319-4261484447-1006\Software\Microsoft\Windows\CurrentVersion\Pol icies\System\DisableRegistryTools" [0/00009bb8]
2010/05/16 23:04:41 <RUNDLL32.EXE:3680> change_object (allow) "\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs" [0/00009bbc]
2010/05/16 23:04:41 <RUNDLL32.EXE:3680> change_object (allow) "\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs" [0/00009bc0]
2010/05/16 23:04:42 <ORGF.EXE:1384> create_process (allow) "c:\windows\system32\rundll32.exe" [0/00009bc4]
2010/05/16 23:05:39 <ORGF.EXE:1384> protect_memory (block) "C:\WINDOWS\SYSTEM32\RUNDLL32.EXE" [0/00009bc8]
2010/05/16 23:04:56 <ACRORD32.EXE:1436> create_process (allow) "c:\documents and settings\user\local settings\temp\nfug.exe" [0/00009bcc]
2010/05/16 23:05:18 <SVCHOST.EXE:1564> create_process (allow) "c:\program files\microsoft office\office11\winword.exe" [0/00009bd0]
2010/05/16 23:05:39 <ORGF.EXE:1384> protect_memory (block) "C:\WINDOWS\SYSTEM32\RUNDLL32.EXE" [0/00009bd4]
2010/05/16 23:05:39 <ORGF.EXE:1384> protect_memory (block) "C:\WINDOWS\SYSTEM32\RUNDLL32.EXE" [0/00009bd8]
2010/05/16 23:05:40 <ORGF.EXE:1384> protect_memory (block) "C:\WINDOWS\SYSTEM32\RUNDLL32.EXE" [0/00009bdc]
2010/05/16 23:05:40 <ORGF.EXE:1384> protect_memory (block) "C:\WINDOWS\SYSTEM32\RUNDLL32.EXE" [0/00009be0]
2010/05/16 23:05:40 <ORGF.EXE:1384> protect_memory (block) "C:\WINDOWS\SYSTEM32\RUNDLL32.EXE" [0/00009be4]
2010/05/16 23:05:49 <WINWORD.EXE:2216> create_process (allow) "c:\windows\system32\svchost.exe" [0/00009be8]
2010/05/16 23:05:49 <WINWORD.EXE:2216> write_memory (allow) "C:\WINDOWS\SYSTEM32\SVCHOST.EXE" [0/00009bec]
2010/05/16 23:06:03 <NFUG.EXE:3904> change_object (block) "C:\WINDOWS\system32\srnh.lto" [0/00009bf0]
2010/05/16 23:06:05 <NFUG.EXE:3904> change_object (block) "C:\WINDOWS\system32\srnh.lto" [0/00009bf4]
2010/05/16 23:06:07 <NFUG.EXE:3904> change_object (block) "C:\WINDOWS\system32\srnh.lto" [0/00009bf8]
2010/05/16 23:06:20 <NFUG.EXE:3904> change_object (block) "C:\WINDOWS\system32\srnh.lto" [0/00009bfc]
2010/05/16 23:06:20 <NFUG.EXE:3904> change_object (learn) "C:\WINDOWS\system32\srnh.lto" [0/00009c00]
сделайте такой лог http://virusinfo.info/showthread.php?t=59446
Забывал сделать syscheck
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ExecuteRepair(6); ExecuteRepair(12); RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); RebootWindows(true); end.
Сделайте новый лог HiJack + сообщите, решилась ли проблема с Outpost
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Outpost запустился.
Не могу попасть в папку C:\Documents and Settings\Администратор.DBTSSK2J.000
"Отказано в доступе."
Вот новые логи
http://www.getsysteminfo.com/read.ph...3bb80b1bd8007a
Последний раз редактировалось alakazam; 18.05.2010 в 13:27.
- Выполните скрипт в AVZ
доступ появился?Код:begin ExecuteRepair(6); ExecuteRepair(8); RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); RebootWindows(true); end.
Нет
Пофиксите в hijack
Больше ничего необычного. Попробуйте настроить права на данную папкуКод:O20 - AppInit_DLLs: C:\WINDOWS\system32\ix.dll
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Также у меня не показывает скрытых системных файлов. Когда ставлю галку "показать" через некоторое время они скрываются.
Проверьте в реестре в веткепараметры ShowSuperHidden, SuperHidden, Hidden на предмет равенства "1" (это правильное значение)Код:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
А также в ветке
параметр "CheckedValue" тоже должен быть "1"Код:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Исправил значения в реестре.
Всё работает. Вот новые логи, проверьте пожалуйста
Чтобы можно было запустить AVZ для создания логов, несмотря на вирус и банер, нужно открыть Explorer и запустить avz (не в безопасном режиме), компьютер не будет перезагружаться
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Обновите базы AVZ.
Проведите процедуру, описанную в первом сообщении тут: http://virusinfo.info/showthread.php?t=3519
Уважаемый(ая) alakazam, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.