-
Junior Member
- Вес репутации
- 52
Вирус блокирует жёсткие диски
Обнаружил, что жесткие диски сделаны сетевыми и заблокирована корзина и удаление с этих дисков. ComboFix что-то находит, но не помогает. Правда позволил разблокировать удаление на дисках. Диск Е вообще не виден снаружи - пробовал DrwebLiveUSB. Работает и зависает. После принудительной перезагрузки рушатся каталоги и винда запускает проверку диска. Ни Дрвеб ни касперский не помогают также.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\TEMP\TF.exe','');
QuarantineFile('C:\WINDOWS\TEMP\VTLFBAVIVW.exe','');
QuarantineFile('C:\WINDOWS\TEMP\WQDQMDEDI.exe','');
DeleteService('WQDQMDEDI');
DeleteService('VTLFBAVIVW');
DeleteService('TF');
QuarantineFile('C:\WINDOWS\TEMP\RHVVJVFZPU.exe','');
QuarantineFile('C:\WINDOWS\TEMP\RBEVA.exe','');
QuarantineFile('C:\WINDOWS\TEMP\PJJSVAZC.exe','');
QuarantineFile('C:\WINDOWS\TEMP\NSYBIUQOL.exe','');
DeleteService('NSYBIUQOL');
DeleteService('PJJSVAZC');
DeleteService('RBEVA');
DeleteService('RHVVJVFZPU');
QuarantineFile('C:\WINDOWS\TEMP\MNCNIZEEDI.exe','');
QuarantineFile('C:\WINDOWS\TEMP\COOPLRRC.exe','');
QuarantineFile('C:\WINDOWS\TEMP\CMKOXYM.exe','');
QuarantineFile('C:\WINDOWS\TEMP\CCSCKEHZP.exe','');
DeleteService('CCSCKEHZP');
DeleteService('CMKOXYM');
DeleteService('COOPLRRC');
DeleteService('MNCNIZEEDI');
DeleteFile('C:\WINDOWS\TEMP\CCSCKEHZP.exe');
DeleteFile('C:\WINDOWS\TEMP\CMKOXYM.exe');
DeleteFile('C:\WINDOWS\TEMP\COOPLRRC.exe');
DeleteFile('C:\WINDOWS\TEMP\MNCNIZEEDI.exe');
DeleteFile('C:\WINDOWS\TEMP\NSYBIUQOL.exe');
DeleteFile('C:\WINDOWS\TEMP\PJJSVAZC.exe');
DeleteFile('C:\WINDOWS\TEMP\RBEVA.exe');
DeleteFile('C:\WINDOWS\TEMP\RHVVJVFZPU.exe');
DeleteFile('C:\WINDOWS\TEMP\WQDQMDEDI.exe');
DeleteFile('C:\WINDOWS\TEMP\VTLFBAVIVW.exe');
DeleteFile('C:\WINDOWS\TEMP\TF.exe');
DeleteFile('C:\WINDOWS\Installer\26d74e6.msi');
DeleteFileMask('C:\WINDOWS\TEMP','*.exe',false);
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Файл quarantine.zip загрузите по ссылке прислать запрошенный карантин.
Сделайте новые логи
-
-
Junior Member
- Вес репутации
- 52
Скрипт выполнил.
Забыл сказать, что ComboFix выдал
e:\recycled\De2.exe . . . . Failed to delete
c:\windows\regedit.exe . . . is infected!!
c:\windows\system32\cscript.exe . . . is infected!!
c:\windows\system32\mspaint.exe . . . is infected!!
c:\windows\system32\mstsc.exe . . . is infected!!
c:\windows\system32\sc.exe . . . is infected!!
c:\windows\system32\services.exe . . . is infected!!
c:\windows\system32\telnet.exe . . . is infected!!
c:\windows\system32\tlntsess.exe . . . is infected!!
c:\windows\system32\w32tm.exe . . . is infected!!
c:\windows\system32\wscript.exe . . . is infected!!
c:\windows\system32\wbem\wmiprvse.exe . . . is infected!!
c:\windows\system32\dnsapi.dll . . . is infected!!
***
Загрузить карантин по ссылке не удалось. Залил сюда же
Последний раз редактировалось Никита Соловьев; 08.01.2011 в 03:26.
-
-
-
Junior Member
- Вес репутации
- 52
Сделал. Правда ComboFix вылетает в процессе работы. Картинку прилагаю.
-
c:\windows\regedit.exe . . . is infected!!
c:\windows\system32\cscript.exe . . . is infected!!
c:\windows\system32\mspaint.exe . . . is infected!!
c:\windows\system32\mstsc.exe . . . is infected!!
c:\windows\system32\sc.exe . . . is infected!!
c:\windows\system32\services.exe . . . is infected!!
c:\windows\system32\telnet.exe . . . is infected!!
c:\windows\system32\tlntsess.exe . . . is infected!!
c:\windows\system32\w32tm.exe . . . is infected!!
c:\windows\system32\wscript.exe . . . is infected!!
c:\windows\system32\wbem\wmiprvse.exe . . . is infected!!
c:\windows\system32\dnsapi.dll . . . is infected!!
Заархивируйте в ZIP с паролем virus и пришлите эти файлы по ссылке "прислать запрошенный карантин"
-
-
Junior Member
- Вес репутации
- 52
Закачал. Только ссылку для поста там не нашёл???
Файл сохранён как 110108_234824_Infected_4d28cd9834c28.zip
Размер файла 1180102
MD5 cd3abe2ea975a953b650ad89231789e6
-
Файлы в порядке. У Вас система сборка?
-
-
Junior Member
- Вес репутации
- 52
Да сборка. Раньше никаких претензий у Комбофикса не имелось. А сейчас на wmiprvse.exe ещё и макафи ругается - проверял на вирустотал. Вообщем, после каждой перезагрузки логические диски становятся системными. Удаления с диска Е нет, снаружи диск Е не виден. Корзина глючит с очисткой. Винэксплорер периодически вылетает.
Переставлять винду?
-
Сообщение от
Asylum
А сейчас на wmiprvse.exe ещё и макафи ркгается - проверял на вирустотал.
Какой результат?
-
-
Junior Member
- Вес репутации
- 52
File name: wmiprvse.exe
Submission date: 2011-01-08 11:36:32 (UTC)
Current status: finished
Result: 1 /43 (2.3%)
McAfee-GW-Edition 2010.1C 2011.01.08 Heuristic.BehavesLike.Win32.Suspicious.H
-
Сообщение от
Asylum
McAfee-GW-Edition 2010.1C 2011.01.08 Heuristic.BehavesLike.Win32.Suspicious.H
Это не аргумент. Он там многие файлы определяет.
Больше никаких аномалий у Вас в системе не вижу. Скорее всего это специфика сборки
-
-
Junior Member
- Вес репутации
- 52
Похожая история уже была, но вылечилась Комбофиксом в тот раз. В этот раз уже не получается. (((
RootkitRevealer тоже находит всякие аномалии в реестре. Попробую их поправить и, если не будет результата, поставлю старую корявую лицензию )))
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 12
- В ходе лечения вредоносные программы в карантинах не обнаружены
-