Доброго времени суток. Помогите вернуть к жизни компьютер. А то я сам даже логи толком посмотреть не могу. IE не работает.
[ATTACH]258680[/ATTACH]
[ATTACH]258681[/ATTACH]
Сейчас попытаюсь добавить третий лог.
Printable View
Доброго времени суток. Помогите вернуть к жизни компьютер. А то я сам даже логи толком посмотреть не могу. IE не работает.
[ATTACH]258680[/ATTACH]
[ATTACH]258681[/ATTACH]
Сейчас попытаюсь добавить третий лог.
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в Safe Mode:
[CODE]begin
SetAVZGuardStatus(True);
DeleteFile(GetAVZDirectory+'log\virusinfo_cure.zip');
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
DelBHO('{35A6E2B1-27A9-47D2-913C-559E1EF1D034}');
QuarantineFile('C:\WINDOWS\system32\qdzmcv.exe','');
QuarantineFile('C:\WINDOWS\system32\2f5e60da.exe','');
QuarantineFile('C:\Documents and Settings\rdima\Главное меню\Программы\Автозагрузка\monoca32.exe','');
DeleteFile('C:\Documents and Settings\rdima\Главное меню\Программы\Автозагрузка\monoca32.exe');
DeleteFile('C:\WINDOWS\system32\2f5e60da.exe');
DeleteFile('C:\WINDOWS\system32\qdzmcv.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
3. Выполните скрипт в AVZ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Загрузите файл quarantine.zip, используя ссылку [url]http://virusinfo.info/upload_virus.php?tid=84910[/url]
4. Сделайте лог [B]virusinfo_syscure[/B] в обычном режиме.
Файл сохранён как 100808_175905_quarantine_4c5eb829e676c.zip
Сейчас сделаю лог syscure.
Прежде, чем обратиться сюда, прошелся парсером по логу syscheck, там было[QUOTE]>>> C:\Program Files\Internet Explorer\setupapi.dll ЭПС: подозрение на "Троянская DLL в каталоге IE" (высокая степень вероятности)
>>> C:\Program Files\Internet Explorer\setupapi.dll ЭПС: подозрение на скрытый автозапуск AppCertDlls (высокая степень вероятности)
9. Мастер поиска и устранения проблем
>> Обнаружен статический маршрут к сайту производителя антивируса
C:\WINDOWS\system32\config\systemprofile\Application Data\Microsoft\svchost.exe[/QUOTE]
(Лог могу выложить)
После этого прошелся скриптом
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('digeste.dll');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Application Data\Microsoft\svchost.exe');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(20);
BC_Activate;
RebootWindows(true);
end.[/CODE]
Парсер еще это предлагал [QUOTE]RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\SecurityProviders','SecurityProviders');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','svchost.exe'); [/QUOTE]
Когда запускал Firefox, Касперский нашел тот же setupapi.dll в папке этого браузера и выполнил программу лечения. Был TrojanWin32.BHO.ajcb
[QUOTE=Betelgeize;684285]А то я сам даже логи толком посмотреть не могу.[/QUOTE]
А не можете, потому как используете парсер логов вместо головы.
[ATTACH]258717[/ATTACH]
Предлагаю выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DelAutorunByFileName('C:\WINDOWS\system32\2f5e60da.exe');
DeleteFileMask('C:\WINDOWS\Temp\', '*.*', true);
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.[/CODE]
Провериться антивирусом.
Установить обновления и IE, т.к. его удалил вирус.
Еще что-нибудь нужно?
В данном случае, Aleksandra, вместо. А с рабочим интернетом и нетормозящим компьютером головой. Пусть это останется на моей совести.
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
DeleteFile('C:\WINDOWS\system32\2f5e60da.exe');
DeleteFile('C:\WINDOWS\system32\qdzmcv.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
3. Повторите лог [B]virusinfo_syscheck.[/B]
[ATTACH]258768[/ATTACH]
Скрипт выполнил, только файлы из скрипта уже были удалены еще в сообщении 2 (проверял).
Кроме того, что написал выше, не нравится в логах GMSIPCI (какой-то драйвер с диска F) и порты TCP 1042, 1053.
Вирусы обнаружил такие:
Trojan.Win32.BHO.ajcb
Trojan.BAT.KillFiles.np
Trojan-Spy.Win32.Agent.biiq
Trojan-Banker.Win32.Fibbit.y
HEUR:Trojan.Win32.Generic
Пароли, думаю, надо поменять.
Ничего плохого в логах не увидела. Установите SP3 и все доступные обновления.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\rdima\главное меню\программы\автозагрузка\monoca32.exe - [B]Rootkit.Win32.Agent.bijs[/B] ( DrWEB: Trojan.Botnetlog.478, BitDefender: Backdoor.Generic.412084, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\windows\system32\qdzmcv.exe - [B]Backdoor.Win32.Shiz.se[/B] ( DrWEB: Trojan.Packed.20817, BitDefender: Gen:Variant.Zbot.15, AVAST4: Win32:Spyware-gen [Spy] )[*] c:\windows\system32\2f5e60da.exe - [B]Backdoor.Win32.Shiz.ts[/B] ( DrWEB: Trojan.Packed.20815, AVAST4: Win32:Malware-gen )[/LIST][/LIST]