Вот еще один подозрительный компьютер.
Вот еще один подозрительный компьютер.
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); QuarantineFile('C:\WINDOWS\system32\wlinject.exe',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\avipbb.sys',''); QuarantineFile('C:\WINDOWS\system32\kkkdat.exe',''); QuarantineFile('C:\WINDOWS\system32\2648a35e.exe',''); DeleteFile('C:\WINDOWS\system32\2648a35e.exe'); DeleteFile('C:\WINDOWS\system32\kkkdat.exe'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(20); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
Есть вопрос по поводу одной строки в скрипте. А именно этой:
QuarantineFile('C:\WINDOWS\system32\wlinject.exe', '');
wlinject.exe - это служба обеспечения работы клиента VipNET от Инфотекса http://www.infotecs.ru/
Всё равно пускать скрипт? Или сначала добавить его в базу безопасных файлов?
скрипт файл только закарантинит и все... запустите скрипт
Попытался выполнить скрипт.
На этой строке:
QuarantineFile('C:\WINDOWS\system32\DRIVERS\avipbb .sys','');
AVZ сообщил об ошибке "Ошибка карантина. Прямое чтение из файла"
А вот на этой строке:
DeleteFile('C:\WINDOWS\system32\2648a35e.exe');
Компьютер "завис".
Делайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Новые логи.
Последний раз редактировалось V_Bond; 22.09.2010 в 09:31. Причина: карантин в теме
Логи RSIT
Выполните скрит в AVZ
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темыКод:begin QuarantineFileF('c:\windows\system32', '*.exe,adv*.tmp', false,'', 0, 0, '27.07.2010', '14.09.2010'); end.
Сделайте лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Лог Combofix.
Карантин выслал.
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: c:\windows\system32\fed80705.exe c:\windows\system32\775bb1f4.exe c:\windows\system32\fjcxsd.exe c:\windows\system32\qobjpt.exe c:\windows\system32\adv1B.tmp c:\windows\system32\adv1A.tmp c:\windows\system32\adv19.tmp c:\windows\system32\adv18.tmp c:\windows\system32\adv17.tmp c:\windows\system32\adv16.tmp c:\windows\system32\adv15.tmp c:\windows\system32\adv14.tmp c:\windows\system32\fpougx.exe c:\windows\system32\adv13.tmp c:\windows\system32\adv12.tmp c:\windows\system32\wrymcm.exe c:\windows\system32\adv11.tmp c:\windows\system32\rxyfgx.exe c:\windows\system32\adv10.tmp c:\windows\system32\sngwcd.exe c:\windows\system32\advF.tmp c:\windows\system32\advE.tmp c:\windows\system32\dxyrji.exe c:\windows\system32\advD.tmp c:\windows\system32\advC.tmp c:\windows\system32\kkkdat.exe Driver:: Folder:: c:\program files\Common Files\pkr Registry:: FileLook:: DirLook::
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
При выполнении скрипта CFScript лог не был создан, потому что ОС выпала в "синий экран смерти" (сокращенный текст ошибки: A Process or Thread cruical to system operation has unexpectedly exited or terminated STOP: 0x000000F4 (0x00000003, 0x85F12DA0, 0x85F12F14, 0x8060577E))
Однако после перезагрузки антивирус начал обновляться.
Надо делать новые логи AVZ, HijackThis, RSIT?
Новые логи.
Последний раз редактировалось Никита Соловьев; 13.10.2010 в 21:09. Причина: лишнее вложение
Карантин отправлен.
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 30
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\dxyrji.exe - Backdoor.Win32.Shiz.rs ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Dropper.TON, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:Morphex [Cryp] )
- c:\\windows\\system32\\fed80705.exe - Backdoor.Win32.Shiz.wz ( DrWEB: BackDoor.Siggen.26284, BitDefender: Gen:Heur.FKP.1, NOD32: Win32/Spy.Shiz.NAI trojan, AVAST4: Win32:MalOb-DS [Cryp] )
- c:\\windows\\system32\\fjcxsd.exe - Backdoor.Win32.Shiz.vn ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Heur.FKP.1, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-DS [Cryp] )
- c:\\windows\\system32\\fpougx.exe - Backdoor.Win32.Shiz.us ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Heur.FKP.1, AVAST4: Win32:MalOb-DS [Cryp] )
- c:\\windows\\system32\\kkkdat.exe - Packed.Win32.Krap.hr ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.20, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\\windows\\system32\\qobjpt.exe - Backdoor.Win32.Shiz.uw ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Heur.FKP.1, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-DS [Cryp] )
- c:\\windows\\system32\\rxyfgx.exe - Backdoor.Win32.Shiz.uj ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Heur.FKP.1, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-DS [Cryp] )
- c:\\windows\\system32\\sngwcd.exe - Packed.Win32.Krap.hr ( DrWEB: Trojan.Packed.20771, BitDefender: Rootkit.38987, AVAST4: Win32:MalOb-DS [Cryp] )
- c:\\windows\\system32\\wrymcm.exe - Backdoor.Win32.Shiz.uk ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Heur.FKP.1, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-DS [Cryp] )
- c:\\windows\\system32\\775bb1f4.exe - Packed.Win32.Krap.hr ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Heur.FKP.1, NOD32: Win32/Spy.Shiz.NAI trojan, AVAST4: Win32:MalOb-DS [Cryp] )
Уважаемый(ая) yobot, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.