-
Junior Member
- Вес репутации
- 58
Попал под вирусную аттаку=(
Вчера лазил по сайтам и мне еще принесли флэшку и хард диск съемный. Вообщем в инете на сайте Д.р. Веб орал что вирус...
На флэшку орал, что вирус и на хард орал что вирус. Сегодня после загрузки компа выдалась ошибка про свгост (вин32) и что система откючится через 1 минуту. Загрузился в безопасном режиме и сделал проверку. Щас в обычном. Вроде ошибки такой нет. Но вирус (я уверен) есть.
Посмотрите пожалуйста.
Заранее спасибо!
Последний раз редактировалось Brakses; 14.08.2010 в 12:22.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сделайте ка полную проверку, загрузившись с LiveCD http://virusinfo.info/showthread.php?t=15927
потом повторите логи с обновленными базами в AVZ по правилам.
Paula rhei.
Поддержать проект можно тут
-
-
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 58
Последний раз редактировалось Brakses; 28.08.2010 в 15:58.
-
Junior Member
- Вес репутации
- 58
Ну что? Есть что-нибудь. Или мне опять переделать логи? Т.к. вирусняк какой-то есть обсалютно точно... Походу я наврятли теперь загружусб в обычном режиме. При перезагрузке компа в обычном мигает синий экран и комп снова перезагружается=(
-
Сканирование запущено в 14.08.2010 11:57:14
Сделайте новые логи плиз.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 58
Последний раз редактировалось Brakses; 28.08.2010 в 15:58.
-
В AVZ выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Program Files\Sienzo\DMM\DMM.exe.BAK','');
QuarantineFile('C:\Program Files\sharedir\ZipGiz 1.30.zip','');
QuarantineFile('C:\DOCUME~1\Toster\LOCALS~1\Temp\espC2B8.tmp','');
QuarantineFile('C:\Program Files\JAS\jas.exe','');
QuarantineFile('C:\Documents and Settings\Toster\Главное меню\Программы\Автозагрузка\updpxe32.exe','');
QuarantineFile('C:\Documents and Settings\Toster\Главное меню\Программы\Автозагрузка\srvklw32.exe','');
DeleteFile('C:\Documents and Settings\Toster\Главное меню\Программы\Автозагрузка\srvklw32.exe');
DeleteFile('C:\Documents and Settings\Toster\Главное меню\Программы\Автозагрузка\updpxe32.exe');
DeleteFile('C:\DOCUME~1\Toster\LOCALS~1\Temp\espC2B8.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RegSearch('HKLM', '', 'espC2B8');
ExecuteRepair(8);
SetServiceStart('RemoteRegistry', 4);
SaveLog(GetAVZDirectory + 'avz.log');
RebootWindows(true);
end.
После перезагрузки
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
Логи повторите
Файл из директории с AVZ avz.log прикрепите.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 58
Готово!
Но у меня осталась одна проблемма.
После того как мой антивирь - др. веб удалил 3-4 системных зараженых файлов из папки систем 32 у меня комп не загружается в обычном режиме. Только в безопасном. Я щас выполнил все скрипты и он все равно не хочет грузиться в обычном режиме. Только в безопасном с сетевыми драйверами.
При попытки загрузиться в обычный режим. Появляется синий экран и комп снова перезагружается. Сможете мне помоч - как это исправить?
Последний раз редактировалось Brakses; 28.08.2010 в 15:58.
-
Junior Member
- Вес репутации
- 58
Ребят=) Простите за назойливость - но там как дела то у меня=) Жить буду?
-
В AVZ выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Print\Providers\1BAD60A1');
RegKeyDel('HKLM', 'SYSTEM\ControlSet001\Control\Print\Providers\1BAD60A1');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Control\Print\Providers\1BAD60A1');
DeleteFile('C:\DOCUME~1\Toster\LOCALS~1\Temp\espC2B8.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки повторите логи AVZ
Номер ошибки с синего экрана сообщите.
Выполните http://support.microsoft.com/kb/310747/ru
Paula rhei.
Поддержать проект можно тут
-
-
А также
Зайдите в безопасном режиме с поддержкой сети
Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
Сообщение от
Brakses
др. веб удалил 3-4 системных зараженых файлов из папки систем 32
Какие именно файлы были удалены?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 58
Готово. Сделал все...
К сожалению не помню какие файлы... У меня д.р. веб удаляет без спроса, стоит галка удалять автоматически. Просто был отчет и я видел что удаляются файлы из папки систем32...
Потом, после очередного удаленного файла комп ушел в перезагруз сразу же... И больше в обычном режиме не грузится...
При попытки Sfc.exe /Scannow
мигает черное окошко и все... Ничего не выполняет...
Номер ошибки синего экрана
0x00000050 (OXB24147E8, 0x00000008, OXB24147E8, OX00000000)
Последний раз редактировалось Brakses; 28.08.2010 в 15:58.
-
Удалите папку C:\Program Files\sharedir вместе с содержимым. Там у Вас полно упакованного Bagle
C:\WINDOWS\system32\drivers\aec.sys проверьте на virustotal
Ссылку на результат проверки сообщите
Скачайте "OSAM" (Online Solutions Autorun Manager).
Если утилита заработает в безопасном режиме, html-лог работы утилиты заархивируйте и прикрепите к своему сообщению
Пофиксите в HiJack (на всякий случай, Bagle любит баловаться)
Код:
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 58
Готово
1. Не очень уверен, что эта ссылка откроется. Я думал он сам ссылку где-то покажет. Это вообщем ссылка с адресной строки.
2. Папку удалил.
3. Профиксил
4. У меня утилита уже была установлена и благодаря этому получилось ее запустить. Так как инсталер не мог ее установить заного.
https://www.virustotal.com/file-scan...0d-1281793758#
Последний раз редактировалось Brakses; 28.08.2010 в 15:58.
-
C:\WINDOWS\system32\drivers\aec.sys запакуйте с паролем virus и пришлите по красной ссылке
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 58
-
Заменяйте файл с дистрибутива http://virusinfo.info/showthread.php?t=51654
Добавлено через 3 минуты
Rootkit.Win32.Bubnix.ob
Последний раз редактировалось thyrex; 14.08.2010 в 18:27.
Причина: Добавлено
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 58
thyrex, Спасибо тебе огромное. Долго возился с этим дистрибутивом=) Но все заработало!!!
Еще раз большущее спасибО!
Вылечено+)!
-
Теперь логи из нормального режима сделайте
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-