Просьба помочь вылечить компьютер от вирусов!
Printable View
Просьба помочь вылечить компьютер от вирусов!
Логи сделаны в ограниченной в правах учетке. Переделать
Логи под админом
в логах нет подозрительного, кроме этого
[QUOTE] Windows XP SP2
Internet Explorer v6.00 SP2[/QUOTE]
- SP2 обновите до [URL="http://www.microsoft.com/Downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4"]Service Pack 3[/URL](может потребоваться активация)
[B]*[/B] Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet-Explorer 8[/URL].(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]
До этого был WinXP (SP3) c лицензионным Антивирусом Касперского Internet Secuirity 2009 (Директория E:\Windows)
Произошло заражение/внедрена вредоносная программа - в результате загрузка происходит до входа в сеанс, при входе происходит мгновенное завершение сеанса (в различных режимах по F8). На текущий момент бывают проблемы с входом в интернет - ошибка 691, 798. Браузер иногда сам по себе выключается, на рабочем столе появляется Портфель, увеличение исходящего/входящего трафика.
Основной шлюз - пустой, выводится сообщение об ошибке: подключение отсутствует или ограничено.
Появилось множество файлов в текущей директории Виндовс такого примерно вида:
Проблемы начались после письма на почтовый адрес, при повторном просмотре почтового ящика - все письма были удалены.
Откройте файл [URL="http://df.ru/~kad/ScanVuln.txt"]ScanVuln.txt[/URL]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
Результат:
Поиск критических уязвимостей
Часто используемые уязвимости не обнаружены
Реально восстановить не запускающийся Windows? Может есть софт какой обнаружения ошибок в процессе загрузки, или подмены исходных файлов Windows?
п/с: Спасибо за скрипт!
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=53070"]MBAM[/URL]
Загрузка с диска E:\ также не возможна, даже после удаления заражённых файлов... Следы остались видимо еще...
- удалите в MBAM
[CODE]
E:\WINDOWS\system32\dllcache\iissync.exe (Virus.Expiro) -> No action taken.
[/CODE]
больше подозрительного нет
Удалил.
после этого вируса Windows реально восстановить??? Загрузка только до окна выбора пользователя - далее при выборе сохранение параметров и завершение сеанса.. цикл до бесконечности...
на текущий момент:
удалены дополнительно вирусы со статусом: R_Server; Tool.InstSrv; ProgramSrvAny
похоже еще не последние т.к. коннект локальной сети до сих пор выдает ошибку: подключение ограничено или отсутствует, видать хапанул криптованных пинчей :(
Скрин
что скажете про такие скрипты:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\iexplorer.exe','');
QuarantineFile('C:\WINDOWS\winlogon.exe','');
QuarantineFile('C:\WINDOWS\msauc.exe','');
QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
QuarantineFile('C:\WINDOWS\qcbtorad.exe','');
QuarantineFile('C:\WINDOWS\system32\blphcnp1j0eeap.scr','');
QuarantineFile('C:\WINDOWS\system32\lphcnp1j0eeap.exe','');
DeleteFile('C:\WINDOWS\system32\lphcnp1j0eeap.exe');
DeleteFile('C:\WINDOWS\system32\blphcnp1j0eeap.scr');
DeleteFile('C:\WINDOWS\system32\svshost.dll');
DeleteFile('C:\WINDOWS\msauc.exe');
DeleteFile('C:\WINDOWS\winlogon.exe');
DeleteFile('C:\WINDOWS\iexplorer.exe');
BC_ImportAll;
BC_DeleteSvc('WmdmPmSNseclogon');
BC_DeleteSvc('W32TimeNetDDE');
BC_DeleteSvc('VSSNetman');
BC_DeleteSvc('VSSHTTPFilter');
BC_DeleteSvc('RemoteAccessLmHosts');
BC_DeleteSvc('PlugPlayTrkWks');
BC_DeleteSvc('NetlogonRpcSs');
BC_DeleteSvc('MSIServerlanmanserver');
BC_DeleteSvc('lanmanserverDnscacheSamSs');
BC_DeleteSvc('EventlogVSS');
BC_DeleteSvc('ERSvcAlerter');
BC_DeleteSvc('DnscacheSamSs');
BC_DeleteSvc('cprmcspWmdmPmSN');
BC_DeleteSvc('cprmcspSCardSvr');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
после
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O20 - Winlogon Notify: pcixmm - pcixmm.dll (file missing)
Реально нужна помощь....Windows rjnjhsq evth (E:\windows) очень нужно оживить..
жду советов, буду благодарен вашей помощи
прежде чем обсуждать скрипты, надо увидеть логи.
Логи
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\Documents and Settings\Администратор\DoctorWeb\Quarantine\i_bpk2003.exe','');
DeleteFile('D:\Documents and Settings\Администратор\DoctorWeb\Quarantine\i_bpk2003.exe');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
больше ничего подозрительного нет
Файл сохранён как 100530_211929_quarantine_4c029e21e184d.zip
Посмотрите пож-та!:>
[QUOTE=polword;646266]больше ничего подозрительного нет[/QUOTE]
- подозрительного не увидел больше ничего
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] d:\documents and settings\администратор\doctorweb\quarantine\i_bpk2003.exe - [B]not-a-virus:Monitor.Win32.Perflogger.163[/B] ( DrWEB: archive: Trojan.Peflog.1253, BitDefender: Dropped:Trojan.Perflog.2, NOD32: Win32/Spy.PerfKey trojan )[/LIST][/LIST]