-
Junior Member
- Вес репутации
- 50
Прошу помощи
Вирус проявляет себя так: * Долгая загрузка системы (от ввода пароля до работоспособности 4-5 минут); * Первый запуск браузеров таков Internet Explorer 8 "вылетает" Opera 10.61 выдает сообщение «отказано в доступе», последующие подключения в норме; * при подключении к internet KIS 2010 сообщает о заблокированной фишинговой ссылки посылается которая или Services.exe, или Svchost.exe; * Внезапная недоступность интернет-ресурсов (например вашего форума); * Невозможность обновления KIS 2010 (базы KIS от 18.08.2010);
Полная проверка KIS ничего не выявила. Запустить AVZ или HiJackThis не позволяется (окно вспыхивает и сразу гаснет).
Пошел на хитрость через диспетчера задач остановил процесс Explorer.exe затем через новую задачу запустил AVZ. Использую функцию AVZ восстановление, восстановил ключ запуска Explorer. Через панель задач вновь запустил explorer. Вышел из AVZ и запустил вновь - все в норме. Выполнил скрипт "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info". AVZ предложил перезагрузиться. После 2-ой перезагрузки, первая выдала "синее окно смерти" (с двумя строками набора символов) не могу запустить ни AVZ ни HiJackThis даже через вышеописанную лазейку. Результаты первой проверки прилагаю.
Прошу помощи и,
Заранее благодарю.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('C:\FRAPS\FRAPS32.DLL','');
QuarantineFile('C:\WINDOWS\system32\mzarir.exe','');
QuarantineFile('C:\WINDOWS\system32\9c7a4352.exe','');
DeleteFile('C:\WINDOWS\system32\9c7a4352.exe');
DeleteFile('C:\WINDOWS\system32\mzarir.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
-
-
Junior Member
- Вес репутации
- 50
Высылаю логи
высылаю затребованные файлы
-
Сообщение от
polword
- Скачайте
RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета
log.txt и
info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
не все...
-
-
Junior Member
- Вес репутации
- 50
Логи от RSIT
высылаю логи выданные RSIT
-
Junior Member
- Вес репутации
- 50
Извини логи за месяц сейчас переделаю.
-
Junior Member
- Вес репутации
- 50
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFileMask('C:\Program Files\Common Files\wm', '*.*', true);
DeleteDirectory('C:\Program Files\Common Files\wm');
QuarantineFile('C:\WINDOWS\system32\21e0ce0c.exe','');
DeleteFile('C:\WINDOWS\system32\21e0ce0c.exe');
DeleteFile(' C:\Program Files\Common Files\keylog.txt');
QuarantineFile(' C:\WINDOWS\system32\ogbvnt.exe','');
DeleteFile('C:\WINDOWS\SET4.tmp');
DeleteFile('C:\WINDOWS\SET3.tmp');
DeleteFile('C:\WINDOWS\SET8.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог RSIT
-
-
Junior Member
- Вес репутации
- 50
-
Junior Member
- Вес репутации
- 50
Что-нибудь еще?
Или это все?
Как узнать?!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 15
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\mzarir.exe - Backdoor.Win32.Shiz.tq ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Heur.FKP.1, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:Konar-B [Trj] )
- c:\\windows\\system32\\ogbvnt.exe - Backdoor.Win32.Shiz.uj ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Heur.FKP.1, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-DS [Cryp] )
- c:\\windows\\system32\\21e0ce0c.exe - Packed.Win32.Krap.hr ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\\windows\\system32\\9c7a4352.exe - Backdoor.Win32.Shiz.ty ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Heur.FKP.1, AVAST4: Win32:MalOb-DS [Cryp] )
-