Компьютер зависает и год меняется на 2070

Printable View

21.02.2009, 17:20
Xenon

Компьютер зависает и год меняется на 2070

Вобщем причина в теме...
21.02.2009, 17:21
Bratez

[quote=Xenon;352407]причина в теме...[/quote]
А логи где?
21.02.2009, 17:34
Xenon

Вот логи
21.02.2009, 17:41
Гриша

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{95289393-33EA-4F8D-B952-483415B9C955}');
QuarantineFile('C:\WINDOWS\TEMP\16775.sys','');
QuarantineFile('c:\windows\system32\267.exe','');
TerminateProcessByName('c:\windows\system32\267.exe');
DeleteFile('c:\windows\system32\267.exe');
DeleteFile('C:\WINDOWS\TEMP\16775.sys');
DeleteFile('C:\Documents and Settings\Kolya\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
DeleteFileMask('%tmp% ','*.* ',true );
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.[/CODE]

Пришлите карантин по правилам и повторите логи...
21.02.2009, 17:48
Xenon

DeleteFile('c:\windows\system32\267.exe
267.exe Вот такие процеесы заполоняют постоянно... и каждый раз разная цифра...
21.02.2009, 18:14
Xenon

Логи после скрипта
21.02.2009, 18:25
Гриша

Карантин где?

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\system.exe','');
TerminateProcessByName('c:\windows\system32\system.exe');
DeleteFile('c:\windows\system32\system.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Пришлите карантин по правилам и повторите логи...
21.02.2009, 21:25
Xenon

Типа папку карантин в .zip архив паковать? Там нет про это ничего) Спс скрипт помог избавиться от процесса...
21.02.2009, 21:26
light59

Логи повторите.
21.02.2009, 21:35
Xenon

[quote=light59;352540]Логи повторите.[/quote]
Смотрите
21.02.2009, 21:44
drongo

AVZ, меню "Файл - Выполнить скрипт"
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{35A6E2B1-27A9-47D2-913C-559E1EF1D034}');
QuarantineFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\oreans32.sys','');
QuarantineFile('C:\Program Files\sXe Injected\ddsxei.sys','');
DeleteFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll');
DeleteFile('C:\Program Files\sXe Injected\ddsxei.sys');
DeleteService('ddsxeiservice');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6); ExecuteRepair(8);ExecuteRepair(9);
RebootWindows(true);
end.
[/code]
карантин прислать.
логи опять повторить

[quote=Xenon;352538]Типа папку карантин в .zip архив паковать? Там нет про это ничего) Спс скрипт помог избавиться от процесса...[/quote]
нет, avz сам запакует, только читать внимательней третье дополнение правил.
21.02.2009, 21:49
Xenon

Карантин со всеми вирусами?
21.02.2009, 21:52
light59

Прочитайте Приложение 3 правил. Там написано как присылать его.
Да, со всеми вирусами... Мы их коллекционируем...
21.02.2009, 21:56
Xenon

Сейчас всё залью. Спасибо за помощь:)
21.02.2009, 22:03
Xenon

Карантин 090221_220253_virus_49a04fdd37ff3.zip
Логи
21.02.2009, 22:27
drongo

остались остатки и несколько дырок закрыть, вот скрипт:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('RemoteRegistry', 4);
DeleteFile('C:\WINDOWS\system32\drivers\oreans32.sys');
DeleteFile('C:\Program Files\sXe Injected\ddsxei.sys');
BC_DeleteSvc('oreans32');
BC_DeleteSvc('ddsxeiservice');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]

Как теперь, не переводит время? Чтобы подобное не случалось надо перестать под админом гулять ;)

[url]http://virusinfo.info/showthread.php?t=30339[/url]
21.02.2009, 22:30
Xenon

Нет, после удаления System.exe всё стало стабильно со временем.
21.02.2009, 22:41
drongo

Для сведения:
c:\windows\system32\system.exe Trojan.Win32.Agent.brcu
c:\windows\system32\267.exe Trojan.Win32.Pakes.naf
C:\WINDOWS\TEMP\16775.sys Trojan-Dropper.Win32.Agent.ahfn

P.S. Причина не в теме, причина в вашем поведении. Не гуляли бы под админом где попало, не заразились бы.
22.02.2009, 22:41
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]14[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\system.exe - [B]Trojan.Win32.Agent.brcu[/B] (DrWEB: Trojan.MulDrop.30340)[*] c:\windows\system32\267.exe - [B]Trojan.Win32.Pakes.naf[/B] (DrWEB: Win32.HLLW.Autoruner.6315)[*] c:\windows\temp\16775.sys - [B]Rootkit.Win32.Agent.hji[/B] (DrWEB: Trojan.NtRootKit.2692)[/LIST][/LIST]