Поймал непонятный вирус
Разрывает интернет, не могу посмотреть скрытые файлы, не разорвать соединения пишит что используется другим пользователем, скачиваютсья левые .ехе
Printable View
Поймал непонятный вирус
Разрывает интернет, не могу посмотреть скрытые файлы, не разорвать соединения пишит что используется другим пользователем, скачиваютсья левые .ехе
[URL="http://virusinfo.info/showthread.php?t=4905"]Отключите восстановление системы[/URL]
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] в Hijackthis:[CODE]R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O3 - Toolbar: Яндекс.Бар - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)[/CODE]
Отключите компьютер от интернета, а также [B]антивирус[/B] и/или [B]файрвол[/B].
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\Мои Установки\utm5 wintray\utm5_wintray.exe','');
QuarantineFile('C:\WINDOWS\system32\ntkrnlpa.exe','');
QuarantineFile('C:\WINDOWS\system32\sfcfiles.dll','');
QuarantineFile('C:\NORTON\U-34543ANTI-9998887776-23234532-565\nav.exe','');
QuarantineFile('C:\xAVx\ReleAsE\xAVy.exe','');
QuarantineFile('D:\S-1-5-21-1482476501-1644491937-682003330-1016\Mars.exe','');
QuarantineFile('D:\S-1-5-21-1482476501-1644491937-682003330-1013\Mars1.exe','');
QuarantineFile('C:\WINDOWS\system32\Ati2evxx.dll','');
QuarantineFile('c:\windows\system32\ati2evxx.exe','');
DelCLSID('64KLC5K0-4OPM-00WE-AAX8-27EF1D183366');
DelCLSID('14MAD6M8-1MAD-81AD-JIM6-26OP5G3369085');
DeleteFile('D:\S-1-5-21-1482476501-1644491937-682003330-1013\Mars1.exe');
DeleteFile('D:\S-1-5-21-1482476501-1644491937-682003330-1016\Mars.exe');
DeleteFile('C:\xAVx\ReleAsE\xAVy.exe');
DeleteFile('C:\NORTON\U-34543ANTI-9998887776-23234532-565\nav.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','InternetServics1');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Internet Security Servics');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы. Сделайте новые логи по правилам (virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log)
Делал всё по пунктам, были проблемы с загрузкой карантина...
Эффекта вроде нету, при проверке АVZ пишит всё тоже самое...
Комп даже диски с флэшками не видит )))
Отключите компьютер от интернета, а также [B]антивирус[/B] и/или [B]файрвол[/B].
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Админ\ddddd.exe','');
QuarantineFile('C:\WINDOWS\system32\w32time.dll','');
QuarantineFile('C:\WINDOWS\system32\Drivers\HTTP.sys','');
DeleteFile('C:\Documents and Settings\Админ\ddddd.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы. Сделайте новые логи AVZ по правилам
Вроде опять эффекта нет)))
меня настараживет куча перехватчиков, и слова прививка от АVZ и перенеса таблица KITS и то что перехватчики те что определяються постоянно одни и теже )))
[QUOTE='RusH[78];605493']меня настараживет куча перехватчиков, и слова прививка от АVZ и перенеса таблица KITS [/QUOTE]Это нормально.
Выполните в AVZ скрипт [url=http://df.ru/~kad/ScanVuln.txt]ScanVuln.txt[/url] и приложите сюда файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]35[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\админ\local settings\temporary internet files\content.ie5\t2iucvey\march1pmine[1].jpg - [B]Trojan.Win32.Kreeper.csa[/B] ( DrWEB: Win32.HLLW.Autoruner.16565, BitDefender: Trojan.Generic.3546827, AVAST4: Win32:Malware-gen )[*] c:\norton\u-34543anti-9998887776-23234532-565\nav.exe - [B]Worm.Win32.AutoRun.hci[/B] ( DrWEB: Win32.HLLW.Autoruner.15890, BitDefender: Worm.Generic.231257, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Malware-gen )[*] c:\system volume information\_restore{3d822191-6b49-46fc-a073-185f4891f60b}\rp157\a0136237.exe - [B]Trojan.Win32.Kreeper.csa[/B] ( DrWEB: Win32.HLLW.Autoruner.16565, BitDefender: Trojan.Generic.3546827, AVAST4: Win32:Malware-gen )[*] c:\system volume information\_restore{3d822191-6b49-46fc-a073-185f4891f60b}\rp157\a0136317.exe - [B]Trojan.Win32.Kreeper.csa[/B] ( DrWEB: Win32.HLLW.Autoruner.16565, BitDefender: Trojan.Generic.3546827, AVAST4: Win32:Malware-gen )[*] c:\system volume information\_restore{3d822191-6b49-46fc-a073-185f4891f60b}\rp157\a0136464.exe - [B]Trojan.Win32.Kreeper.csa[/B] ( DrWEB: Win32.HLLW.Autoruner.16565, BitDefender: Trojan.Generic.3546827, AVAST4: Win32:Malware-gen )[*] d:\s-1-5-21-1482476501-1644491937-682003330-1013\mars1.exe - [B]Trojan.Win32.Kreeper.csa[/B] ( DrWEB: Win32.HLLW.Autoruner.16565, BitDefender: Trojan.Generic.3546827, AVAST4: Win32:Malware-gen )[*] d:\s-1-5-21-1482476501-1644491937-682003330-1016\mars.exe - [B]Backdoor.Win32.Agent.aqrr[/B] ( DrWEB: Win32.HLLW.Autoruner.16436, BitDefender: Trojan.Generic.3563250, AVAST4: Win32:Malware-gen )[*] h:\autorun.inf - [B]Worm.Win32.AutoRun.hci[/B] ( NOD32: INF/Autorun virus )[*] h:\norton\u-34543anti-9998887776-23234532-565\nav.exe - [B]Worm.Win32.AutoRun.hci[/B] ( DrWEB: Win32.HLLW.Autoruner.15890, BitDefender: Worm.Generic.231257, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Malware-gen )[*] h:\winxpsp3ru-pc\winxpsp3ru-pc\winxpsp3ru-pcx1.exe - [B]Trojan.Win32.Kreeper.csa[/B] ( DrWEB: Win32.HLLW.Autoruner.16565, BitDefender: Trojan.Generic.3546827, AVAST4: Win32:Malware-gen )[/LIST][/LIST]