-
Junior Member
- Вес репутации
- 49
Помогите пожалуйста. 2 дня мучаюсь, сам победить не могу.
Ноутбук поймал заразу, которую я найти не могу.
Машина когда грузится, не выводит рабочий стол эксплорер пока не запустишь через диспетчер задач. Такие проблемы описаны, но всё, что я делал результато не даёт.
АВЗ - запускается и сразу выключается (переименование не помогает)
Утилитка от Доктора Веб - не запускается
Полиморфный АВЗ не запускается
АВП - не запускается.
Malwarebytes' Anti-Malware - не запускается.
Запустился только hijackthis - логи во вложении
В System32 были файлики (6 exe-файлов), которых на мой взгляд быть не должно - 8391aac0.exe - например.
Удалил их не помогло
И ещё Exolorer запускаю - он или гаснет сразу или программа выполнила недопустиную операцию.
Ещё был файли tmp.exe - размер его "0"
Помогите пожалуйста. 2 дня не могу одолеть паразита.
Заранее спаибо!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 49
Не запускается тоже.
Запускал и безопасном режиме и в обычном - не хочет.
-
-
-
Junior Member
- Вес репутации
- 49
Промучался ещё сутки.
Программу с огромным трудом запусти (MBAM) но обновить не смог.
Лог во вложении.
Отыскал в реестре вот такую щтуку:
Ветвь:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Параметр: a04cd7b6
C:\WINDOWS\system32\lbgflme.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Параметр: Userinit
C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system 32\90d7be24.exe,C:\WINDOWS\system32\gzssuqi.exe,C: \WINDOWS\system32\29bc584e.exe,C:\WINDOWS\system32 \uroilqk.exe,C:\WINDOWS\system32\8391aac0.exe,C:\W INDOWS\system32\mnfdinr.exe,C:\WINDOWS\system32\57 3ef458.exe,C:\WINDOWS\system32\sqkcqoe.exe,C:\WIND OWS\system32\lbgflme.exe,
Удалил лишние записи и потёр в system32 эти файлы - система ожила
и запустились все проги
Логи AVZ и HJ и MBAM во вложении
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{2D798E9E-FBAA-47A5-896A-D4B9BD6D803C}');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Bitrix Security\wqgooqj.dll','');
QuarantineFile('c:\documents and settings\Администратор\wuaucldt.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Adobe\AdobeUpdate.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\cdrom.sys','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Adobe\plugs\localftps.dll','');
QuarantineFile('c:\documents and settings\Администратор\application data\netprotocol.exe','');
DeleteFile('c:\documents and settings\Администратор\application data\netprotocol.exe');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Adobe\plugs\localftps.dll');
DeleteFile('c:\documents and settings\Администратор\wuaucldt.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Bitrix Security\wqgooqj.dll');
ExecuteRepair(20);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
-
-
Junior Member
- Вес репутации
- 49
Всё сделал как Вы рекомендовали.
Только в карантин попали 2 файла а не все, которые в скрипте были.
Куда делись гады?
Новые логи тоже прикрепил.
-
выполните скрипт
Код:
begin
BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\cdrom.sys');
BC_Activate;
RebootWindows(true);
end.
C:\WINDOWS\system32\DRIVERS\cdrom.sys - перепишите с другой системы ...такой же
-
-
Junior Member
- Вес репутации
- 49
Всё работает!!!!!
Спасибо огромное!
-
Junior Member
- Вес репутации
- 49
Уважаемые.
Все работет отлино, НО при пепезагрузке или завершении вылезла вот какая штука:
- завершение программы member window
Какая программа мешает перегрузить-завершить работу ПК?
Если кто знает подскажите пожалуйста.
Логи во вложении.
Спасибо!
-
зловредного ничего не вижу ... у вас очень много всего стартует с системой отключите все кроме ctfmon.exe и антивируса ...через msconfig и посмотрите
-
-
Junior Member
- Вес репутации
- 49
Спасибо за помощь. Отыскал некий Update который чё-то делал, но, что -непонятно. Удалил ссылку на него и всё стало хорошо!
Ещё раз всем спасибо!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\администратор\\application data\\adobe\\adobeupdate.exe - Trojan-Downloader.Win32.Agent.fcdl ( DrWEB: Trojan.MulDrop1.54183, BitDefender: Trojan.Generic.5114340, AVAST4: Win32:Karagany [Trj] )
- c:\\windows\\system32\\drivers\\cdrom.sys - Virus.Win32.Protector.h ( DrWEB: BackDoor.Bulknet.508, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.N virus, AVAST4: Win32:Cutwail-AP [Rtk] )
-