-
Junior Member
- Вес репутации
- 51
подозрение на вирус
Есть подозрение, что подцепил заразу. Симптомы - не запускается антивирус (вернее запускается, но его не видно) Nod32 версии 4, лиценз. При этом защитник Windows говорит, что антивирус в системе присутствует и имеет последнюю версию. Также перестал работать удаленный доступ на этот компьютер через RealVNC - спрашивает логин и пароль, хотя комп в домене и авторизация настроена на конкретных доменных пользователей. Проверял комп cureit последним - нашел шесть троянчиков, все поудалял, после этого проверил с последнего livecd - нашел еще пару - удалил. Поставил mbam - ничего не нашел. Помогите побороть незапускающийся антивирус. А, забыл самое главное, avz при запуске вылетает сразу же, удалось запустить только с ключем AG=Y
Hijack запустить не удалось, тоже вылетает сразу после загрузки
Последний раз редактировалось evoname; 26.10.2010 в 10:10.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('c:\program files\realvnc\vnc4\winvnc4.exe','');
DeleteService('mkdrv');
QuarantineFile('C:\WINDOWS\mkdrv.sys','');
QuarantineFile('C:\WINDOWS\system32\9d321288.exe','');
QuarantineFile('C:\WINDOWS\system32\qorhun.exe','');
DeleteFile('C:\WINDOWS\system32\qorhun.exe');
DeleteFile('C:\WINDOWS\system32\9d321288.exe');
DeleteFile('C:\WINDOWS\mkdrv.sys');
BC_DeleteSvc('mkdrv');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteRepair(20);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Повторите логи
-
-
Junior Member
- Вес репутации
- 51
Результат загрузки
Файл сохранён как 101007_134301_quarantine_4cad96251ee72.zip
Размер файла 2609443
MD5 bf8b577bd769ccb8622aef561e4b07e7
Файл закачан, спасибо!
-
Junior Member
- Вес репутации
- 51
запустился hijackthis, прикладываю лог
Последний раз редактировалось evoname; 21.10.2010 в 14:03.
-
Junior Member
- Вес репутации
- 51
теперь при каждом запуске система пытается найти какой-то драйвер для устройства "нет данных"...
-
-
-
Junior Member
- Вес репутации
- 51
антивирус запустился, удаленный доступ под доменными атрибутами по прежнему не работает, работает только с паролем прямого доступа, с аналогичными симптомами слегли еще две машины в сети, сейчас буду оформлять для них новые темы, там пока выполняются скрипты...
Добавлено через 1 час 7 минут
в принципе неприятных моментов, кроме предложения установить драйвер для устройства "нет данных" больше пока не замечено. спасибо.
Последний раз редактировалось evoname; 07.10.2010 в 15:29.
Причина: Добавлено
-
Давайте устраним и этот неприятный момент -
Выполните скрипт в АВЗ -
Код:
begin
ExecuteStdScr(6);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
-
-
Junior Member
- Вес репутации
- 51
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 13
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\qorhun.exe - Backdoor.Win32.Shiz.aed ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Kazy.1502, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:Spyware-gen [Spy] )
- c:\\windows\\system32\\9d321288.exe - Backdoor.Win32.Shiz.acw ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.6750154, NOD32: Win32/Spy.Shiz.NAI trojan, AVAST4: Win32:Spyware-gen [Spy] )
-