Снова возник вирус NT AUTHORITY с перезагрузкой :(
Помогите, пожалуйста!
Printable View
Снова возник вирус NT AUTHORITY с перезагрузкой :(
Помогите, пожалуйста!
Добавил файл из AVZ
Нужны такие логи AVZ - [B]virusinfo_syscure.zip[/B], AVZ - [B]virusinfo_syscheck.zip[/B], и лог HJT - [B]hijackthis.log[/B] как в [URL="http://virusinfo.info/pravila.html"]правилах.[/URL]
Комп тормозит, не получается завершить составление нужного лога.
Может быть будет все-таки достаточно присланного?
Там видно, что в реестре есть странного много.
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- [B][COLOR="Red"]Обязательно!!! Системное восстановление!!![/COLOR][/B][URL="http://virusinfo.info/pravila_old.html"] как- посмотреть можно тут[/URL]
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('C:\DOCUME~1\8D45~1\LOCALS~1\Temp\esp2D9F.tmp','');
QuarantineFile('\\?\globalroot\systemroot\system32\8ZdTcWS.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\7uTpbKb.exe','');
QuarantineFile('C:\WINDOWS\system32\qresqi.exe','');
QuarantineFile('C:\WINDOWS\system32\fb35b230.exe','');
DeleteFile('C:\WINDOWS\system32\fb35b230.exe');
DeleteFile('C:\WINDOWS\system32\qresqi.exe');
DeleteFile('\\?\globalroot\systemroot\system32\7uTpbKb.exe');
DeleteFile('\\?\globalroot\systemroot\system32\8ZdTcWS.exe');
DeleteFile('\\?\globalroot\systemroot\system32\Y2rB3VX.exe');
DeleteFile('C:\DOCUME~1\8D45~1\LOCALS~1\Temp\esp2D9F.tmp');
RegSearch('HKLM', '', 'esp2D9F.tmp');
SaveLog(GetAVZDirectory + 'search.log');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(20);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- файл [B]search.log[/B] из папки AVZ прикрепите к сообщению
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.1-3 раздела Диагностика.(virusinfo_syscure.zip;virusinfo_syscheck.zip; hijackthis.log)
Имеется в виду, что надо отключить системное восстановление?
Именно так.
Мне сейчас удается включить систему только так:
Стер
Ну скрипт-то получится выполнить?
Скрипт запустил.
Карантин закачал.
Спасибо вам огромное!
Кстати, упомянутые синдромы у меня появились после того, как я установил программу Audacity с официального сайта и потом стал browse-ить по сайтам с сериалом Доктор Хаус при помощи Opera 10.60 Windows XP SP 3.
Я уверен, что может быть именно в сайтах дело, это единственные две активности, которые были новыми при импользовании компа.
Сайты:
doktorhaus.ru
housemdtv.ru
serial-house.ru
Может пара других, из первой десятки списка Гугл по запросу типа Доктор Хаус сезон 6, серия 16.
Выглядит, возможно, смешно и нелепо, но именно при открытии этих сайтов комп сильно задумался, открылись новые экземпляры браузера, и новые окна, потом вылезло NT Authority.
Скоро пришлю логи.
Еще раз спасибо.
[QUOTE='ntauth;669656']Выглядит, возможно, смешно и нелепо[/QUOTE] Ничуть, вполне возможно, для заражения компьютеров использовали выход нового Lost и даже поиски по новостям о смерте Ронни Джеймса Дио, подсовывая зловредные ссылки. Кстати, я могу ошибаться, но про Доктор Хаус тоже кажется слышал.
[QUOTE=Olejah;669608]Нужны такие логи AVZ - [B]virusinfo_syscure.zip[/B], AVZ - [B]virusinfo_syscheck.zip[/B], и лог HJT - [B]hijackthis.log[/B] как в [URL="http://virusinfo.info/pravila.html"]правилах.[/URL][/QUOTE]
сделайте все три лога
Может вы как-то сможете посоветовать, как не подпадаться на такие зловредные ссылки?
Вот сначала долечим Вас, а потом посоветуем. Сначала - дела. Сделайте пожалуйста то, что [B]polword[/B] просил.
Делаю.
[size="1"][color="#666686"][B][I]Добавлено через 9 минут[/I][/B][/color][/size]
Пишет, что еще час осталось - проверяет диски.
Придется оставить на ночь.
Пришлю завтра логи.
Скоро загружу из HJT.
Не спится с этой вирусней..
Готово.
Жду ответа..
Скачайте [url=http://images.malwareremoval.com/random/RSIT.exe]RSIT[/url]. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке ([b]RSIT[/b]) в корне системного диска.
[QUOTE=polword;669634]
- файл [B]search.log[/B] из папки AVZ прикрепите к сообщению
[/QUOTE]
+ вот этот файл
Как получить этот файл - search.log?
У меня его нет в папке с AVZ.
Скриншот результатов проверки AVP:
RSIT качаю
Логи RSIT
Запустил CureIt повторно.
Жду инструкций.
Спасибо.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
RegSearch('HKLM', '', 'esp2D9F.tmp');
SaveLog(GetAVZDirectory + 'search.log');
end.[/CODE]
- файл [B]search.log[/B] из папки AVZ прикрепите к сообщению
Лог добавил.
CureIt! вирусов не находит.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Print\Providers\2BE3547B');
RegKeyDel('HKLM', 'SYSTEM\ControlSet001\Control\Print\Providers\2BE3547B');
RegKeyDel('HKLM', 'SYSTEM\ControlSet003\Control\Print\Providers\2BE3547B');
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
А также
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mssfc.dll','');
DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys');
DeleteFile('C:\WINDOWS\system32\mssfc.dll');
QuarantineFile('%windir%\system32\sfcfiles.dll','');
RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
CopyFile('%windir%\system32\dllcache\sfcfiles.dll', '%windir%\system32\sfcfiles.dll');
DeleteFile('%windir%\system32\sfcfiles.bak');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
AVZ делает лог очень долго. Видимо из-за заполненного винчестера.
HJT лог прикрепляю.
Второй скрипт сделаю после лога, который в процессе.
Спасибо!
У меня есть 7ГБ папка с моими рабочими файлами. Там нет вирусов - я уверен. (Скомпилированный Qt 4.6 там лежит).
Тем не менее для подготовки логов она сканируется. Может как-то можно регулировать, что сканировать? Чтобы ускорить составление лога по стандартному скрипту?
карантин последний не забудьте прислать
Новые логи
Прислал карантин:
Файл сохранён как 100714_175108_virus2_4c3dc0ccde4fb.zip
Размер файла 1291
MD5 7c22a4b21d8cc87986c839f9fb3bae93
Но, по-моему, карантин не правильно создался, там ini файлы только.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('c:\windows\system32\netprovcredman.dll','');
QuarantineFile('C:\Documents and Settings\Заур\Главное меню\Программы\Автозагрузка\wwwznv32.exe','');
DeleteFile('C:\Documents and Settings\Заур\Главное меню\Программы\Автозагрузка\wwwznv32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Профиксите в HijackThis, что останется
[CODE]
R3 - URLSearchHook: (no name) - - (no file)
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
O4 - Startup: wwwznv32.exe
[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
Файл сохранён как 100714_180804_quarantine2_4c3dc4c4bca81.zip
Размер файла 223268
MD5 d177cb601e3c19e1be32da94dcd528a3
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
Не нашел в HJT
последней строчки
O4 - Startup: wwwznv32.exe
логи сделайте повторные
Загрузил новые логи
в логах подозрительного нет. Что с проблемой?
Я по-прежнему гружусь специальным образом, чтобы не возникало этого сообщения.
Думаете, можно попытаться загрузиться обыкновенно?
попробуйте