Ноутбук и НЕт сети

Printable View

17.11.2010, 11:33
eppa

Ноутбук и НЕт сети

Ноутбук перестал получать IP перестал видеть сетевое подключение.
Логи HiJack Чичтые Gmer Говорит руткиты есть.
17.11.2010, 11:41
olejah

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
TerminateProcessByName('f:\2wljzbrc.exe');
QuarantineFile('f:\2wljzbrc.exe','');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('F:\TMPFILE\autorun.exe','');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

- Сохраните текст ниже как [B]1.bat[/B] в ту же папку, где находится [B]2wljzbrc.exe[/B](GMER) и запустите этот батник(1.bat):

[CODE]2wljzbrc.exe -del service rkplbhx
2wljzbrc.exe -del file "C:\WINDOWS\system32\teugxwb.dll"
2wljzbrc.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\rkplbhx"
2wljzbrc.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\rkplbhx"
2wljzbrc.exe -reboot[/CODE]

Компьютер перезагрузится.

- Лечимся так - [URL="http://support.kaspersky.ru/faq?qid=208636215"]http://support.kaspersky.ru/faq?qid=208636215[/URL]

- [B]Обновите базы АВЗ[/B]
- Сделайте повторные логи АВЗ
- Сделайте новый лог Gmer
17.11.2010, 16:21
eppa

AVZ скрипт выполнил оба.
Карантин не прислалвот по этому [B]Результат загрузки
Ошибка загрузки. Данный файл уже был загружен.[/B]
1.bat сделал но он выполнился с ошибками.
KK.exe просканил
Логи повторил.
17.11.2010, 16:41
olejah

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('F:\autorun.inf');
DeleteFile('F:\TMPFILE\autorun.exe');
DeleteFile('C:\Documents and Settings\АСУ ТП\Application Data\mema.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','VGA');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','VGA');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','VGA');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

- Подготовьте новые логи АВЗ
18.11.2010, 17:45
eppa

Логи сделал
18.11.2010, 17:51
olejah

К Вам постоянно пролезает новая зараза, надо латать дыры

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\RECYCLER\S-1-5-21-4119071690-9359909469-084738676-6975\mcssc.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/URL]
19.11.2010, 13:05
eppa

Done.Логи повторил
19.11.2010, 13:15
olejah

Сейчас плохого не вижу. Что с проблемой?
19.11.2010, 15:52
eppa

А это?[QUOTE]Зараженные файлы:
C:\Program Files\MonSRK-service\SRKServiceConfiguratorNew.exe (Trojan.Dropper) -> No action taken.
C:\Program Files\MonSRK-service\SRKServiceSetubLib.dll (Trojan.Dropper) -> No action taken.[/QUOTE]

Проблемму проверить сейчас не могу проверю отпишусь.
19.11.2010, 15:56
olejah

А эту программу Вы скорее всего сами ставили, раз она в папке Program Files и должны знать, что это.
20.11.2010, 15:56
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] f:\\tmpfile\\autorun.exe - [B]P2P-Worm.Win32.Palevo.awkf[/B] ( DrWEB: Win32.HLLW.Lime.1384, BitDefender: Trojan.Generic.5742144, NOD32: Win32/Peerfrag.IN worm, AVAST4: Win32:Malware-gen )[/LIST][/LIST]