Показано с 1 по 11 из 11.

Несколько подозрительных объектов. (заявка № 88507)

  1. #1
    Junior Member Репутация
    Регистрация
    22.09.2010
    Сообщений
    7
    Вес репутации
    23

    Несколько подозрительных объектов.

    Первоначально привязал вылет БСоД-а к вирусам. Причину сейчас узнал, к вирусам, вроде как, не относится. Но от вирусов хотелось бы избавиться. Удалять просто так из системной папки не стал, решил обратиться к вам.
    P.S. Логи сделаны с сейфмода, если нужны с обычного, выложу после устранения сбоя системы.
    Вложения Вложения
    Последний раз редактировалось M3HTos; 22.09.2010 в 11:15. Причина: Нашел причину.

  2. Реклама
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт
    Код:
    begin
     QuarantineFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA','');
     QuarantineFile('C:\WINDOWS\system32\userini.exe','');
     QuarantineFile('C:\Documents and Settings\Марина\jsnejpph.exe','');
     DeleteService('srservice');
     QuarantineFile('c:\windows\temp\wpv761285103051.exe','');
     DeleteFile('c:\windows\temp\wpv761285103051.exe');
     DeleteFile('srservice.sys');
     DeleteFile('C:\Documents and Settings\Марина\jsnejpph.exe');
     DeleteFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA');
     DeleteFile('C:\WINDOWS\system32\userini.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    переделайте логи как положено в нормальном режиме

  4. #3
    Junior Member Репутация
    Регистрация
    22.09.2010
    Сообщений
    7
    Вес репутации
    23
    Один вопрос только: Повторить процедуру из правил(создание темы), или только сбор информации и лог HijackThis?

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    все

  6. #5
    Junior Member Репутация
    Регистрация
    22.09.2010
    Сообщений
    7
    Вес репутации
    23
    Вот логи. А карантин пришел?
    P.S. AtapiDrv.sys и приводил к BSoD.
    Вложения Вложения

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\Drivers\atapidrv.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\AtapiDrv.sys','');
     DeleteFile('C:\WINDOWS\system32\userini.exe');
     DeleteFile('C:\Program Files\DrWeb\infected.!!!\explorer.exe:userini.exe:$DATA');
     DeleteFile('C:\WINDOWS\system32\Drivers\atapidrv.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  8. #7
    Junior Member Репутация
    Регистрация
    22.09.2010
    Сообщений
    7
    Вес репутации
    23
    Вот логи. Опять же userini и explorer.exe:userini...
    Вложения Вложения

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    1. Замените файл C:\WINDOWS\system32\Drivers\NDIS.sys на чистый из дистрибутива.

    2.Профиксите в HijackThis
    Код:
    O4 - HKLM\..\Run: [userini] C:\WINDOWS\system32\userini.exe
    O4 - HKCU\..\Run: [userini] C:\WINDOWS\system32\userini.exe
    O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\system32\userini.exe
    O4 - HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS\system32\userini.exe
    3.Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
     TerminateProcessByName('c:\windows\temp\wpv201285144693.exe');
     DeleteFile('c:\windows\temp\wpv201285144693.exe');
     DeleteFile('C:\WINDOWS\system32\userini.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
     DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA');
     DeleteFile('c:\windows\explorer.exe:userini.exe');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
    - Сделайте лог MBAM

  10. #9
    Junior Member Репутация
    Регистрация
    22.09.2010
    Сообщений
    7
    Вес репутации
    23
    Вот логи.
    P.S. задержка из-за проблем с поиском дистрибутива.
    Вложения Вложения

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - удалите в MBAM
    Код:
    Зараженные ключи в реестре:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AtapiDrv.sys (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AtapiDrv.sys (Rootkit.Agent) -> No action taken.
    
    Зараженные параметры в реестре:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\host (Malware.Trace) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\id (Malware.Trace) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Services\del (Malware.Trace) -> No action taken.
    
    Объекты реестра заражены:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
    
    Зараженные файлы:
    C:\Documents and Settings\Марина\Application Data\szdx.exe (Trojan.Downloader) -> No action taken.
    C:\WINDOWS\system32\wbem\grpconv.exe (Trojan.Downloader) -> No action taken.
    D:\Денис\Антивиры\avz4\avz4\Quarantine\2010-09-22\avz00001.dta (Trojan.Downloader) -> No action taken.
    D:\Денис\Антивиры\avz4\avz4\Quarantine\2010-09-22\avz00002.dta (Trojan.Downloader) -> No action taken.
    C:\Documents and Settings\Марина\Application Data\wiaservg.log (Malware.Trace) -> No action taken.
    В остальном подозрительного нет.

    Обновите систему
    - Установите Internet-Explorer 8.(даже если Вы его не используете)
    - Поставте все последние обновления системы Windows - тут
    - Обновите Java .

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,549
    Вес репутации
    941

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 7
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\explorer.exe:userini.exe:$data - Trojan-Spy.Win32.Zbot.aqmm ( DrWEB: Trojan.Packed.21552, BitDefender: Trojan.Generic.KDV.39794, AVAST4: Win32:MalOb-CS [Cryp] )
      2. c:\\windows\\explorer.exe:userini.exe:$data - Trojan-Spy.Win32.Zbot.aqmn ( DrWEB: Trojan.Packed.21552, BitDefender: Trojan.Generic.KDV.39840, NOD32: Win32/SpamTool.Tedroo.AF trojan, AVAST4: Win32:MalOb-CS [Cryp] )
      3. c:\\windows\\system32\\userini.exe - Trojan-Spy.Win32.Zbot.aoxg ( DrWEB: Trojan.Packed.21552, BitDefender: Trojan.Generic.KDV.39628, AVAST4: Win32:MalOb-CS [Cryp] )
      4. c:\\windows\\system32\\userini.exe - Trojan-Spy.Win32.Zbot.asuv ( DrWEB: Trojan.Packed.21552, BitDefender: Gen:Variant.Kazy.774, AVAST4: Win32:MalOb-CS [Cryp] )
      5. c:\\windows\\temp\\wpv761285103051.exe - Trojan-Spy.Win32.Zbot.aoxg ( DrWEB: Trojan.Packed.21552, BitDefender: Trojan.Generic.KDV.39628, AVAST4: Win32:MalOb-CS [Cryp] )

    Рекомендации:
    1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !


  • Уважаемый(ая) M3HTos, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 7
      Последнее сообщение: 28.07.2012, 21:16
    2. куча подозрительных объектов
      От KEN1 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 07.12.2009, 19:46
    3. Ответов: 7
      Последнее сообщение: 05.12.2009, 08:20
    4. Ответов: 10
      Последнее сообщение: 28.11.2007, 19:04
    5. Уязвимость при обработке COM объектов в PHP
      От ALEX(XX) в разделе Уязвимости
      Ответов: 0
      Последнее сообщение: 23.10.2007, 16:15

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01046 seconds with 22 queries