Есть подозрения на вирус. Сайт vusinfo.info не открывается.
Есть подозрения на вирус. Сайт vusinfo.info не открывается.
Отключить восстановление системы, защитное ПО.
Профиксить:
Выполнить скрипт:Код:R3 - URLSearchHook: (no name) - - (no file) F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\894e79e8.exe,\\?\globalroot\systemroot\system32\Ghv72oj.exe,\\?\globalroot\systemroot\system32\DUqQsGl.exe,
Компьютер перезагрузится. Карантин загрузить по красной ссылке. Логи повторить.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.4027_x-ww_e69378d0\MSVCR80.dll',''); QuarantineFile('C:\Documents and Settings\Alex\Application Data\Dropbox\bin\DropboxExt.13.dll',''); QuarantineFile('\\?\globalroot\systemroot\system32\DUqQsGl.exe',''); QuarantineFile('C:\WINDOWS\system32\894e79e8.exe',''); QuarantineFile('\\?\globalroot\systemroot\system32\Ghv72oj.exe',''); DeleteFile('C:\WINDOWS\system32\894e79e8.exe'); DeleteFile('\\?\globalroot\systemroot\system32\DUqQsGl.exe'); DeleteFile('\\?\globalroot\systemroot\system32\Ghv72oj.exe'); BC_Activate; ExecuteSysClean; ExecuteWizard('TSW', 2, 2, true); BC_Activate; RebootWindows(true); end.
Скрипты выполнил, карантин и логи добавил.
Немного о симптомах:
Windows загружается через раз, точнее не каждый раз запускается explorer. Долго стартует, до заражения работал несколько шустрее. Windows не загружается в режиме safe mode (перезапускается), зато загружается в режиме Safe mode with network connections. В папке C:\windows\system32 много лишних exe-файлов (удалил).
Последний раз редактировалось alextmp; 31.05.2010 в 23:45.
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); DeleteFile('C:\WINDOWS\system32\894e79e8.exe'); DeleteFile('\\?\globalroot\systemroot\system32\Ghv72oj.exe'); DeleteFile('\\?\globalroot\systemroot\system32\DUqQsGl.exe'); BC_ImportAll; ExecuteSysClean; BC_DeleteFile('C:\WINDOWS\system32\894e79e8.exe'); BC_DeleteFile('\\?\globalroot\systemroot\system32\Ghv72oj.exe'); BC_DeleteFile('\\?\globalroot\systemroot\system32\DUqQsGl.exe'); BC_Activate; RebootWindows(true); end.
- Сделайте повторные логи virusinfo_syscheck.zip и hijackthis.log;
- Сделайте лог MBAM
Скрипт выполнил, логи прилагаются.
- virusinfo_cure.zip - удалите из темы
Добавлено через 7 минут
1. - удалите в MBAM
2.Выполните скрипт в AVZКод:Registry Values Infected: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('C:\WINDOWS\system32\vfp8rrus.dll ',''); QuarantineFile('C:\WINDOWS\Debug\UserMode\explorer.exe',''); CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- логи сделанные с LiveCd бесполезны
Последний раз редактировалось polword; 02.06.2010 в 01:15. Причина: Добавлено
Выполнил скрипт, карантин и логи приложил.
поищите файл C:\WINDOWS\Debug\UserMode\explorer.exe если найдете - пришлите его запакованным в архив ZIP с паролем: virus по ссылке Прислать запрошенный карантин вверху темы
К сожалению explorer.exe прислать не смогу. Я его случайно удалил при помощи MBAM (забыл снять галочку).
больше ничего подозрительного нет
Ок, сейчас попробую загрузиться в "обычном" режиме.
получилось?
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\894e79e8.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.Packed.20032, BitDefender: Gen:Variant.FakeAlert.4, AVAST4: Win32:Rootkit-gen [Rtk] )
- \\?\globalroot\systemroot\system32\duqqsgl.exe - Trojan-Dropper.Win32.Shiz.dv ( DrWEB: Trojan.Packed.20375, BitDefender: Trojan.Generic.4125630, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:Malware-gen )
Уважаемый(ая) alextmp, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.