Снова возник вирус NT AUTHORITY с перезагрузкой :(
Помогите, пожалуйста!
Printable View
Снова возник вирус NT AUTHORITY с перезагрузкой :(
Помогите, пожалуйста!
Добавил файл из AVZ
Нужны такие логи AVZ - [B]virusinfo_syscure.zip[/B], AVZ - [B]virusinfo_syscheck.zip[/B], и лог HJT - [B]hijackthis.log[/B] как в [URL="http://virusinfo.info/pravila.html"]правилах.[/URL]
Комп тормозит, не получается завершить составление нужного лога.
Может быть будет все-таки достаточно присланного?
Там видно, что в реестре есть странного много.
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- [B][COLOR="Red"]Обязательно!!! Системное восстановление!!![/COLOR][/B][URL="http://virusinfo.info/pravila_old.html"] как- посмотреть можно тут[/URL]
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('C:\DOCUME~1\8D45~1\LOCALS~1\Temp\esp2D9F.tmp','');
QuarantineFile('\\?\globalroot\systemroot\system32\8ZdTcWS.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\7uTpbKb.exe','');
QuarantineFile('C:\WINDOWS\system32\qresqi.exe','');
QuarantineFile('C:\WINDOWS\system32\fb35b230.exe','');
DeleteFile('C:\WINDOWS\system32\fb35b230.exe');
DeleteFile('C:\WINDOWS\system32\qresqi.exe');
DeleteFile('\\?\globalroot\systemroot\system32\7uTpbKb.exe');
DeleteFile('\\?\globalroot\systemroot\system32\8ZdTcWS.exe');
DeleteFile('\\?\globalroot\systemroot\system32\Y2rB3VX.exe');
DeleteFile('C:\DOCUME~1\8D45~1\LOCALS~1\Temp\esp2D9F.tmp');
RegSearch('HKLM', '', 'esp2D9F.tmp');
SaveLog(GetAVZDirectory + 'search.log');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(20);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- файл [B]search.log[/B] из папки AVZ прикрепите к сообщению
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.1-3 раздела Диагностика.(virusinfo_syscure.zip;virusinfo_syscheck.zip; hijackthis.log)
Имеется в виду, что надо отключить системное восстановление?
Именно так.
Мне сейчас удается включить систему только так:
Стер
Ну скрипт-то получится выполнить?
Скрипт запустил.
Карантин закачал.
Спасибо вам огромное!
Кстати, упомянутые синдромы у меня появились после того, как я установил программу Audacity с официального сайта и потом стал browse-ить по сайтам с сериалом Доктор Хаус при помощи Opera 10.60 Windows XP SP 3.
Я уверен, что может быть именно в сайтах дело, это единственные две активности, которые были новыми при импользовании компа.
Сайты:
doktorhaus.ru
housemdtv.ru
serial-house.ru
Может пара других, из первой десятки списка Гугл по запросу типа Доктор Хаус сезон 6, серия 16.
Выглядит, возможно, смешно и нелепо, но именно при открытии этих сайтов комп сильно задумался, открылись новые экземпляры браузера, и новые окна, потом вылезло NT Authority.
Скоро пришлю логи.
Еще раз спасибо.
[QUOTE='ntauth;669656']Выглядит, возможно, смешно и нелепо[/QUOTE] Ничуть, вполне возможно, для заражения компьютеров использовали выход нового Lost и даже поиски по новостям о смерте Ронни Джеймса Дио, подсовывая зловредные ссылки. Кстати, я могу ошибаться, но про Доктор Хаус тоже кажется слышал.
[QUOTE=Olejah;669608]Нужны такие логи AVZ - [B]virusinfo_syscure.zip[/B], AVZ - [B]virusinfo_syscheck.zip[/B], и лог HJT - [B]hijackthis.log[/B] как в [URL="http://virusinfo.info/pravila.html"]правилах.[/URL][/QUOTE]
сделайте все три лога
Может вы как-то сможете посоветовать, как не подпадаться на такие зловредные ссылки?
Вот сначала долечим Вас, а потом посоветуем. Сначала - дела. Сделайте пожалуйста то, что [B]polword[/B] просил.
Делаю.
[size="1"][color="#666686"][B][I]Добавлено через 9 минут[/I][/B][/color][/size]
Пишет, что еще час осталось - проверяет диски.
Придется оставить на ночь.
Пришлю завтра логи.
Скоро загружу из HJT.
Не спится с этой вирусней..
Готово.
Жду ответа..
Скачайте [url=http://images.malwareremoval.com/random/RSIT.exe]RSIT[/url]. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке ([b]RSIT[/b]) в корне системного диска.
[QUOTE=polword;669634]
- файл [B]search.log[/B] из папки AVZ прикрепите к сообщению
[/QUOTE]
+ вот этот файл