Добрый вечер!
Процесс svchost.exe грузит систему на 100%.
Логи AVZ удалось сделать только в safe mode. В обычном режиме - катострофически медленно.
Проверьте пожалуйста, спасибо.
Printable View
Добрый вечер!
Процесс svchost.exe грузит систему на 100%.
Логи AVZ удалось сделать только в safe mode. В обычном режиме - катострофически медленно.
Проверьте пожалуйста, спасибо.
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\Drivers\Beep.sys','');
QuarantineFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\siszyd32.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
QuarantineFile('C:\WINDOWS\system32\Drivers\ejnhyg.sys','');
QuarantineFile('C:\WINDOWS\system32\winlogon.exe','');
DeleteFile('C:\WINDOWS\system32\Drivers\ejnhyg.sys');
DeleteFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\siszyd32.exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\system32\Drivers\ejnhyg.sys');
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам.
Замените файл
[CODE]C:\WINDOWS\System32\Drivers\Beep.SYS[/CODE]
По [url=http://virusinfo.info/showthread.php?t=51654]этой[/url] инструкции.
Сделайте новые логи
Пишу пост уже с другой машины, т.к. заражённая после применения скрипта отказалась загружаться. В обычном режиме - просто тёмный дисплей без признаков движения, в сейф-моде загрузка останавливается примерно на половине списка (отключаемых?) драйверов.
Переустановка?
Восстановил систему с помощью консоли восстановления.
Запрошенный карантин:
Файл сохранён как 091218_203720_quarantine_4b2bbdd0e3655.zip
Размер файла 955137
MD5 6802320a1e58833960ce176a9b4ede50
Новые логи в атт.
Посмотрите, а я пока установлю СП3 :)
Скачайте свежий AVZ (актуальная версия 4.32), обновите базы (Файл-Обновление баз), повторите логи
Обновил. Новые логи в атт. Антивирус ругался на обнаруженный руткит, в свою очередь KidoKiller ничего не нашёл, я на всякий случай сделал лог Gmer.
Отключите восстановление системы!
Сохраните текст ниже как cleanup.bat в ту же папку, где находится bncjtigj.exe (gmer)
[code]
bncjtigj.exe -del service ejnhyg
bncjtigj.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ejnhyg"
bncjtigj.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ejnhyg"
bncjtigj.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\ejnhyg"
bncjtigj.exe -reboot[/code]
И запустите cleanup.bat
Компьютер перезагрузится. Лог Gmer повторите
За "отключить восстановление системы", извините, просто вылетело из головы.
При выполнении команды батника по удалению сервиса, выдаётся мессаг:
"Delete Service: Параметр задан неверно."
При выполнении команды батника по удалению ветки реестра, выдаётся мессаг:
"Delete Key: Параметр задан неверно"
При попытке вручную удалить ветки реестра, выдаётся мессаг:
"Не удаётся открыть "ejnhyg". Ошибка при чтении раздела"
Антивирус по прежнему ругаетсся на руткит ejnhyg.sys
Новый лог Гмер сделаю уже завтра....
Всем доброго дня!
"Руткит не столб, перепрыгнуть нельзя, обойти можно!"
Как я сразу не догодался...?
Берём Hiren's Boot CD, загружаемся с него, VC4.99+NTFSPro, грохаем C:\Windows\system32\drivers\ejnhyg.sys
Перезагружаемся уже под виндой, и благополучно, без проблем, прибиваем указанные разделы реестра!
Кстати, после удаления руткита куда-то исчез раздел ControlSet002. Его просто нет... а до удаления руткита был...
Всем спасибо, тема закрыта!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]14[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\user\главное меню\программы\автозагрузка\siszyd32.exe - [B]Backdoor.Win32.Bredolab.bke[/B] ( DrWEB: Trojan.DownLoad1.14707, AVAST4: Win32:Malware-gen )[*] c:\windows\explorer.exe:userini.exe:$data - [B]Trojan-Dropper.Win32.Agent.bjan[/B] ( DrWEB: Trojan.Spambot.6739, BitDefender: Trojan.Generic.CJ.AGGO, NOD32: Win32/SpamTool.Tedroo.AF trojan, AVAST4: Win32:Bredolab-BD [Trj] )[*] c:\windows\system32\drivers\beep.sys - [B]Trojan-Proxy.Win32.Puma.bpn[/B] ( DrWEB: Trojan.NtRootKit.4877 )[/LIST][/LIST]