Printable View
Ну, я писал там выше, что пытался проверить систему касперским, для этого из безопасного режима сносил Нод и пытался поставить касперский. Но из безопасного режима касперский не захотел ставиться вообще, пришлось вернуть НоД обратно. Видать касперский успел где то прописаться.
Карантин и логи выложил.
Выполните
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('c:\windows\system32\vhosts.exe','');
DeleteFile('c:\windows\system32\vhosts.exe');
DeleteFile('Hysu87.sys');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportAll;
BC_DeleteSvc('msupdate');
BC_DeleteSvc('Hysu87');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code]
Карантин пришлите по правилам
сделал
Пара антивирусов это круто, но бесполезно. Нужно оставить одного с лицензией.
[quote=PavelA;212198]Пара антивирусов это круто, но бесполезно. Нужно оставить одного с лицензией.[/quote]
Я ж написал, что они не стоят одновременно.
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
end.[/CODE]
Если попадет в карантин,пришлите согласно приложению 3 правил,в логах явно вредоносного ничего нет,проблема по прежнему актуальна?
Компьютер уже не перегружается. Жду когда вы скажете что все чисто.
Скрипт и карантин завтра уже только выполню.
Выполнил скрипт :))) в карантине че то появилось. Выложил архив в карантин.
(по ссылке [url]http://virusinfo.info/upload_virus.php?tid=20944[/url])
C:\WINDOWS\system32\userinit.exe - [b]Trojan-Downloader.Win32.Injecter.ll[/b]
Распакуйте приложенный архив в папку C:\WINDOWS\system32 с заменой имеющегося файла.
Перезагрузите компьютер.
Сделайте лог по 10-му пункту Правил и приложите к теме.
В папке C:\WINDOWS\system32\userinit.exe - два файла userinit.exe и userini.exe. это нормально ?
Заменил файликом из userinit.zip
лог virusinfo_syscheck.zip сделал
C:\DOCUME~1\9335~1\LOCALS~1\Temp\ieA4.tmp/r - поищи вот этот файлик.
Найдется - пришли.
userini.exe это копия трояна. Удалите его вручную или с помощью скрипта AVZ:
[code]
begin
DeleteFile('C:\WINDOWS\system32\userini.exe');
end.
[/code]
удалил userini
[quote=PavelA;213793]C:\DOCUME~1\9335~1\LOCALS~1\Temp\ieA4.tmp/r - поищи вот этот файлик.
Найдется - пришли.[/quote]
не поняль. Вот только в C:\Documents and Settings\Администратор\Local Settings\Temp нашел файлик ieA4.tmp
[QUOTE=Gamil;213803]не поняль. Вот только в C:\Documents and Settings\Администратор\Local Settings\Temp нашел файлик ieA4.tmp[/QUOTE]
Вот его заархивируйте с паролем virus и пришлите нам [url]http://virusinfo.info/upload_virus.php?tid=20944[/url]
(извините за задержку, но не мог выложить до сегодняшнего дня)
Выложил файлик из C:\Documents and Settings\Администратор\Local Settings\Temp - ieA4.tmp в карантин
ieA4.tmp-[B]Trojan-Downloader.Win32.Mutant.ic[/B]
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\ieA4.tmp ');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Очистите все временные папки.Повторите логи.
Выполнил скрипт, удалил временные файлы, выложил логи
может ну его нафиг ? сохранить важное и отформатировать винт ?
Сегодня обнаружил что после перезагрузки два раза прописывались какие то странные ДНС адреса (85.255.114.194 и 85.255.112.120), сегодня же запустилась какая то программка RussiaPorno .... попросила установиться.
(но компе работает девушка и днс прописывать не умеет, и программка тоже всяко не её %) ). И в конце концов эксплорер начал как то странно работать, при отправке сообщения просто закрывается и все.
Пофиксите в HijackThis:
[code]
O2 - BHO: (no name) - {F2F2A4CB-DAAD-4D0C-BDFC-E945647202C2} - c:\autoex.dll
O4 - HKLM\..\Run: [advap32] C:\DOCUME~1\9335~1\LOCALS~1\Temp\ieA4.tmp/r
O4 - HKLM\..\Run: [svchost] C:\WINDOWS\svchost.exe
[/code]
Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('kdlit.exe','');
QuarantineFile('C:\WINDOWS\svchost.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\SETUPAPI.dll','');
QuarantineFile('C:\Documents and Settings\Наташа\ie_updates3r.exe','');
QuarantineFile('c:\autoex.dll','');
DeleteFile('c:\autoex.dll');
DeleteFile('C:\Documents and Settings\Наташа\ie_updates3r.exe');
DeleteFile('C:\Program Files\Internet Explorer\SETUPAPI.dll');
DeleteFile('C:\WINDOWS\svchost.exe');
DelBHO('{F2F2A4CB-DAAD-4D0C-BDFC-E945647202C2}');
BC_ImportALL;
BC_DeleteSvc('Google Online Services');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
Сделайте новые логи, начиная с п.10 правил.