В центре экрана появился баннер: "заблокирован доступ в сеть". И-нет не работает, антивирус (ESET NOD32) не видит ничего. Переведя время в BIOSе убрал сам, баннер, но что делать дальше не знаю.
Подскажите, плз, что делать.
Printable View
В центре экрана появился баннер: "заблокирован доступ в сеть". И-нет не работает, антивирус (ESET NOD32) не видит ничего. Переведя время в BIOSе убрал сам, баннер, но что делать дальше не знаю.
Подскажите, плз, что делать.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
В HiJackThis пофиксите:
[code]
F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
O2 - BHO: flvdirect - {54048d38-dac1-489f-9737-eab8993117a8} - C:\WINDOWS\system32\9KuMDJsyzcoQE.dll
O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll (file missing)
O3 - Toolbar: QT TabBar - {d2bf470e-ed1c-487f-a333-2bd8835eb6ce} - mscoree.dll (file missing)
O3 - Toolbar: QT Tab Standard Buttons - {D2BF470E-ED1C-487F-A666-2BD8835EB6CE} - mscoree.dll (file missing)
O3 - Toolbar: QTToolBar2 - {a84524f0-d48b-4cff-8012-5e67decaf1d5} - mscoree.dll (file missing)
O4 - HKLM\..\RunServices: [csrcs] C:\WINDOWS\system32\csrcs.exe
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
[/code]
В AVZ выполните скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
TerminateProcessByName('c:\windows\system32\csrcs.exe');
DelBHO('{54048d38-dac1-489f-9737-eab8993117a8}');
QuarantineFile('C:\WINDOWS\system32\9KuMDJsyzcoQE.dll','');
QuarantineFile('C:\WINDOWS\system32\midimap.dll','');
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
DeleteService('userinit');
QuarantineFile('c:\windows\system32\usеrinit.exe','');
QuarantineFile('c:\windows\system32\csrcs.exe','');
DeleteFile('c:\windows\system32\csrcs.exe');
DeleteFile('c:\windows\system32\usеrinit.exe');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','csrcs');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs');
DeleteFile('C:\WINDOWS\system32\9KuMDJsyzcoQE.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
ExecuteRepair(8);
ExecuteWizard('TSW',3,3,true);
RebootWindows(true);
end.
[/code]
После перезагрузки
[code]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/code]
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
Логи повторите
готово, отправил. что дальше делать?
[B]C:\WINDOWS\system32\csrcs.exe[/B] - Worm.Win32.AutoIt.tc(Win32.HLLW.Autoruner.based);
[B]c:\windows\system32\us[COLOR="Yellow"]е[/COLOR]rinit.exe[/B] - Trojan-Ransom.Win32.Agent.jd (Trojan.Fakealert.10477);
[B]C:\WINDOWS\system32\9KuMDJsyzcoQE.dll[/B] - not-a-virus:AdWare.Win32.EZula.is
[QUOTE='миднайт;580135']Логи повторите[/QUOTE]
?
Готово
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
В HiJackThis пофиксите:
[code]
F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
O4 - HKLM\..\RunServices: [csrcs] C:\WINDOWS\system32\csrcs.exe
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
O23 - Service: userinit - Unknown owner - \\.\globalrootC:\WINDOWS\system32\usеrinit.exe (file missing)
[/code]
В AVZ выполните скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
TerminateProcessByName('c:\windows\system32\csrcs.exe');
DeleteService('userinit');
QuarantineFile('globalroot\systemroot\system32\usеrinit.exe','');
QuarantineFile('c:\windows\system32\csrcs.exe','');
DeleteFile('c:\windows\system32\csrcs.exe');
BC_DeleteFile('c:\windows\system32\csrcs.exe');
DeleteFile('globalroot\systemroot\system32\usеrinit.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','csrcs');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
ExecuteRepair(8);
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.
[/code]
После перезагрузки
[code]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/code]
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
Логи повторите
C:\WINDOWS\system32\rserver30\RServer3.exe - R-Admin сами ставили?
готово.
Да, Радмин моих рук дело=)
вот правильные логи
Базы обновите. Логи переделайте.
угумс, готово.
С флешкой вставленной все выполнять.
Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\csrcs.exe','');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
DeleteFile('G:\autorun.inf');
DeleteFile('G:\KpQVSA.eXe');
DeleteFile('G:\kPQvsa.EXe');
DeleteFile('c:\windows\system32\csrcs.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повторить логи
готово
Internet Explorer обновите. Плохого не заметил в логах. Дату системную нормальную поставьте. Проблема решена?
Выставил нормальную дату, похоже все ок! Спасибо огромное за помощь.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]19[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\csrcs.exe - [B]Worm.Win32.AutoIt.tc[/B] ( DrWEB: archive: Win32.HLLW.Autoruner.based, BitDefender: Gen:Trojan.Heur.AutoIT.Xq3@bK1pn0lO )[*] c:\windows\system32\usеrinit.exe - [B]Trojan-Ransom.Win32.Agent.jd[/B] ( DrWEB: Trojan.Fakealert.10477, NOD32: Win32/Sirefef.Q trojan, AVAST4: Win32:Trojan-gen )[*] c:\windows\system32\9kumdjsyzcoqe.dll - [B]not-a-virus:AdWare.Win32.EZula.is[/B][/LIST][/LIST]