помогите

Printable View

07.08.2009, 15:54
olgaBK

Вложений: 3

помогите

Антивирусная утилита AVPTool определила RootKit.Win32.Harebot.ct
AVZ не запускался и был переименован в asd.exe
Помогите пожалуйста справиться с данной проблемой.
Если, что сделала неправильно, прошу прощения.
P.S стартовая страница стала Google, в правом нижнем углу надпись Your computer is infected.
выскакивает табличка C:\windows\system32\wisdstr.exe процессор NTVDM обнаружил недопустимую инструкцию
07.08.2009, 16:22
thyrex

Файлы [COLOR="Red"]ntfs.sys[/COLOR] и [COLOR="#ff0000"]beep.sys[/COLOR] нужно заменить на чистые из дистрибутива:
- Загрузитесь в [URL="http://support.microsoft.com/?scid=kb%3Bru%3B314058&x=11&y=10"]консоли восстановления[/URL]
- На приглашение введите строку:
[CODE]expand X:\i386\ntfs.sy_ C:\WINDOWS\system32\drivers\ntfs.sys[/CODE]
Вместо Х подставьте букву драйва, где лежит дистрибутив.
Переписывание подтвердите.

- На приглашение введите строку:
[CODE]expand X:\i386\beep.sy_ C:\WINDOWS\system32\drivers\beep.sys[/CODE]
Вместо Х подставьте букву драйва, где лежит дистрибутив.
Переписывание подтвердите.

- Выйдите из консоли восстановления комадой exit + клавиша ВВОД.
- Загрузитесь нормально.

Альтернативная замена готовым файлом с аналогичной ОС может быть произведена при загрузке в консоли восстановления (см. выше), с Live CD (BartPE, Knpoppix etc.) или с установкой диска в другой ПК.

Дальнейшее лечение будет эффективным только после выполнения вышенаписанного
07.08.2009, 17:45
olgaBK

Какие дальнейшие мои действия? Это я все выполнила
07.08.2009, 19:12
thyrex

Сделать новый комплект логов
07.08.2009, 20:05
olgaBK

Вложений: 3

вот логи, а надо удалять файл braviax.exe?
07.08.2009, 20:21
Rene-gad

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O3 - Toolbar: Starware Maps Toolbar - {D49E9D35-254C-4c6a-9D17-95018D228FF5} - C:\Program Files\Starware343\bin\Starware343.dll (file missing)
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O4 - HKLM\..\Run: [hp32_nword] C:\WINDOWS\system32\hp32_nword.exe
O4 - HKCU\..\Run: [hp32_nword] C:\Documents and Settings\Ирина\hp32_nword.exe
O20 - AppInit_DLLs: cru629.dat
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WASAY\DPU\WASAYEXT.DLL','');
QuarantineFile('C:\Program Files\Starware343\bin\Starware343.dll','');
QuarantineFile('C:\Documents and Settings\Ирина\hp32_nword.exe','');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\WINDOWS\system32\hp32_nword.exe','');
DeleteFile('C:\WINDOWS\system32\hp32_nword.exe');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
DeleteFile('C:\Documents and Settings\Ирина\hp32_nword.exe');
DeleteFile('C:\Program Files\Starware343\bin\Starware343.dll');
DeleteFileMask('C:\Program Files\Starware343','*.*',true);
DeleteFileMask('C:\WASAY','*.*',true);
DeleteDirectory('C:\Program Files\Starware343');
DeleteDirectory('C:\WASAY');
DelCLSID('{EBDF1F20-11D1-8233-C829-0020AF3E97A9}');
DelBHO('{D49E9D35-254C-4c6a-9D17-95018D228FF5}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

[QUOTE=olgaBK;444846]надо удалять файл braviax.exe?[/QUOTE]Надо. А где он у Вас?
07.08.2009, 22:28
olgaBK

Вложений: 3

файл braviax.exe находился в папке system32, я его удалила.
07.08.2009, 22:35
thyrex

В логах ничего подозрительного.
Что с проблемой?
08.08.2009, 12:07
olgaBK

На первый взгляд проблема решена, буду наблюдать.
Огромное спасибо
08.08.2009, 13:35
thyrex

Установите SP3 (может потребоваться активация) + все новые заплатки
Установите Internet Explorer 8
Установите Adobe Acrobat 9.1 или удалите старый
09.08.2009, 13:35
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]