-
Перезагрузка компьютера
Компьютер перезагружается через ~1 мин. после загрузки с сообщением (от spool.exe), что Windows закрывается. И так непрерывно.
Дальше хотел пойти по вашей инструкции.
Загрузился в Safe Mode.
Сбросил на компьютер свежескаченный CureIT! с обновленной базой.
Попытка запуска файлом cureit.exe не увенчалась успехом.
Переименовал его в cu.com. Запустилось.
Очень долго сканировалось. Найдено много вирусов и неаколько троянов.
Все вылечено, а что не вылечено - удалено. Есть лог.
Загрузился в нормальном режиме. И опять все то же самое.
Что делать?
-
Сделайте логи в безопасном для начала.
-
Вложений: 3
В Safe Mode AVZ запустился только с переименованием в z.com.
После выполнения первого скрипта попытался загрузиться нормально.
В результате - опять уход в перезагрузку.
Снова в Safe Mode AVZ запустил второй скрипт. ОК.
Hijack тоже не запустился. Запустил его как 1.bat .
Высылаю файлы.
-
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\System32\braviax.exe','');
QuarantineFile('C:\WINDOWS\System32\cru629.dat','');
QuarantineFile('C:\Documents and Settings\All Users\Start Menu\Programs\Startup\vbwr.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\spool.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe');
DeleteFile('C:\Documents and Settings\All Users\Start Menu\Programs\Startup\vbwr.exe');
DeleteFile('C:\WINDOWS\System32\drivers\spool.exe');
DeleteFile('C:\WINDOWS\System32\cru629.dat');
DeleteFile('C:\WINDOWS\System32\braviax.exe');
BC_ImportAll;
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
BC_DeleteSvc('Beep');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=18363[/url]
2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe
O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spool.exe
O4 - HKLM\..\Run: [braviax] braviax.exe
O4 - HKUS\S-1-5-18\..\Run: [autoload] C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spool.exe (User 'SYSTEM')
O4 - Global Startup: vbwr.exe
O20 - AppInit_DLLs: cru629.dat[/CODE]
У Вас Windows без сервиспаков вообще!!! Надо срочно ставить SP2
-
После выполнения скрипта комп загрузился в нормальном режиме!
Профиксил, но не все: не обнаружил в окне HijackThis 5 и 6 строки.
Windows сообщает, что комп инфицирован.
Что мне делать дальше?
-
сделайте новые логи ... в нормальном режиме ...
-
Вложений: 3
-
выполните скрипт ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\users32.dat','');
QuarantineFile('C:\Documents and Settings\Toshiba Customern\msftp.dll','');
QuarantineFile('c:\windows\system32\drivers\spool.exe','');
QuarantineFile('c:\documents and settings\toshiba customern\local settings\application data\cftmon.exe','');
QuarantineFile('c:\windows\braviax.exe','');
DeleteFile('c:\windows\braviax.exe');
DeleteFile('c:\documents and settings\toshiba customern\local settings\application data\cftmon.exe');
DeleteFile('c:\windows\system32\drivers\spool.exe');
DeleteFile('C:\Documents and Settings\Toshiba Customern\msftp.dll');
DeleteFile('C:\WINDOWS\System32\users32.dat');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ....
-
Вложений: 3
-
пофиксите
[code]
O4 - HKLM\..\Run: [braviax] braviax.exe
[/code]
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\msftp.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи начиная с пункта 10 правил ...
-
Вложений: 2
-
в логах чисто ....
стоит закрыть лишнее из списка ...
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
>> Службы: разрешена потенциально опасная служба Messenger (Messenger)
>> Службы: разрешена потенциально опасная служба Alerter (Alerter)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
-
Всем Helper-ам РЕСПЕКТ!!!!
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]24[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\all users\\start menu\\programs\\startup\\vbwr.exe - [B]not-a-virus:FraudTool.Win32.UltimateDefender.bl[/B] (DrWEB: Trojan.MulDrop.10874)[*] c:\\documents and settings\\localservice\\local settings\\application data\\cftmon.exe - [B]Trojan-PSW.Win32.Agent.ze[/B] (DrWEB: Trojan.MulDrop.11811)[*] c:\\documents and settings\\toshiba customern\\local settings\\application data\\cftmon.exe - [B]Trojan-PSW.Win32.Agent.ze[/B] (DrWEB: Trojan.MulDrop.11811)[*] c:\\documents and settings\\toshiba customern\\msftp.dll - [B]Worm.Win32.Socks.r[/B] (DrWEB: Trojan.DownLoader.44897)[*] c:\\windows\\braviax.exe - [B]not-a-virus:FraudTool.Win32.UltimateDefender.ax[/B] (DrWEB: Trojan.Fakealert.426)[*] c:\\windows\\system32\\braviax.exe - [B]not-a-virus:FraudTool.Win32.UltimateDefender.ax[/B] (DrWEB: Trojan.Fakealert.426)[*] c:\\windows\\system32\\cru629.dat - [B]Backdoor.Win32.Small.cvu[/B] (DrWEB: Trojan.Proxy.1739)[*] c:\\windows\\system32\\drivers\\beep.sys - [B]Backdoor.Win32.UltimateDefender.a[/B] (DrWEB: Trojan.Fakealert.439)[*] c:\\windows\\system32\\drivers\\spool.exe - [B]Trojan-PSW.Win32.Agent.ze[/B] (DrWEB: Trojan.MulDrop.11811)[*] c:\\windows\\system32\\users32.dat - [B]not-a-virus:AdWare.Win32.Agent.zo[/B] (DrWEB: Trojan.Click.5043)[/LIST][/LIST]
Page generated in 0.00358 seconds with 10 queries