-
Junior Member
- Вес репутации
- 56
Подозрение на вирус
Здраствуй те. Имеется подозрение на наличие вируса в машине - Не могу запустить безопасный режим (F . Вылетает синий экран смерти. На машине стоит Norton Internet Security 2011, периодически находит вирусы с интересными наименованиями, такие как 692.exe, 27917.exe, и т д , такое впечатление что они генерируются. Высылаю вам исследование системы. Прошу помощи.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\1235238437\User1235238437L.exe','');
QuarantineFile('C:\Program Files\1235238437\User1235238437W.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\mmgmmn.sys','');
DeleteService('dpti930');
DeleteFile('C:\WINDOWS\system32\drivers\mmgmmn.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- обновите базы AVZ
- Сделайте повторные логи по правилам п.1-3 раздела Диагностика.(virusinfo_syscure.zip;virusinfo_syscheck.zip; hijackthis.log)
- Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 56
Проблемы остались. Прикладываю отчёт. Также имеется проблема с откл. Восстановление системы, кнопка откл не активирована, через локальную политику настраивал по всякому без результатно.
-
- удалите в MBAM
Код:
Заражённые ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6D125299-C2A9-4DBC-BEC3-6F7124E39A41} (Adware.FieryAds) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{d08d9f98-1c78-4704-87e6-368b0023d831} (Adware.RelevantKnowledge) -> No action taken.
Заражённые параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Worm.Palevo) -> Value: Shell -> No action taken.
Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\StartMenuLogOff (PUM.Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken.
Заражённые файлы:
e:\RECYCLER\s-1-5-21-117609710-842925246-725345543-1003\De262.exe (Malware.Packer.Gen) -> No action taken.
c:\documents and settings\Gloom\nigzss.txt (Malware.Trace) -> No action taken.
- Выполните скрипт в AVZ
Код:
begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('c:\WINDOWS\reconstruction.exe','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
-
-
Junior Member
- Вес репутации
- 56
Консоль восстановления
Спасибо за помощь, проблема решилась бонально просто , путём восстановления настроек safe mode (файл -> восстановление настроек системы -> п.6) Проблема образовалась в другом, не могу загрузиться в консоль восстановления, машина зависает на стадии загрузки консоли. Переустанавливал с установочного диска через команду выполнить -> путь cdmcons, проблема сохранилась. Прошу помочи
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 8
- В ходе лечения вредоносные программы в карантинах не обнаружены
-