-
Junior Member
- Вес репутации
- 53
Помогите! cureit и avptool не справились!
Здравствуйте.
Началосб все с того, что установленная на компе Avira при загрузке системы стала ругаться на Hijacker.Gen и на файл atapi.sys. Удалили файл atapi.sys - винда вообще грузится перестала, переустановили винду поверх, зашли в безопасный режим, провели сканирование утилитой Cureit - ничего не нашла, просканировали утилитой AVPTool - нашла проблемы в виде файлов photo_id.exe и wind7upd.exe и вроде как устранила их. Запустили винду в обычном режиме - все вроде нормально и Avira не ругается. Подключили инет - и началось все сначала и все тоже самое. Помогите
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Проверьтесь этой утилитой:
http://www.secureblog.info/files/TDSSKiller.rar
2. Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Kasir1\mew.exe','');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
QuarantineFile('C:\WINDOWS\system32\av_md.exe','');
QuarantineFile('C:\Documents and Settings\Kasir1\av_md.exe','');
QuarantineFile('C:\Documents and Settings\Kasir1\photo_id.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\ensqio.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\gcegogce.sys','');
QuarantineFile('C:\WINDOWS\wind7upd.exe','');
QuarantineFile('C:\WINDOWS\system32\wuaucIt.exe','');
QuarantineFile('C:\WINDOWS\system32\photo_id.exe','');
QuarantineFile('C:\DOCUME~1\Kasir1\LOCALS~1\Temp\BN1.tmp','');
DeleteFile('C:\DOCUME~1\Kasir1\LOCALS~1\Temp\BN1.tmp');
DeleteFile('C:\WINDOWS\system32\photo_id.exe');
DeleteFile('C:\WINDOWS\system32\wuaucIt.exe');
DeleteFile('C:\WINDOWS\wind7upd.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\gcegogce.sys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\ensqio.sys');
DeleteFile('C:\Documents and Settings\Kasir1\photo_id.exe');
DeleteFile('C:\Documents and Settings\Kasir1\av_md.exe');
DeleteFile('C:\WINDOWS\system32\av_md.exe');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
DeleteFile('C:\Documents and Settings\Kasir1\mew.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
3. Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=61686).
4. Сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
проверил утилитой http://www.secureblog.info/files/TDSSKiller.rar
она ничего не нашла, карантин выслал, высылаю новые логи
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('C:\Documents and Settings\Kasir1\pquebbe.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\zkxsvhye.sys','');
QuarantineFile('C:\WINDOWS\TEMP\BN3.tmp','');
DeleteFile('C:\WINDOWS\TEMP\BN3.tmp');
DeleteFile('C:\WINDOWS\wind7upd.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\zkxsvhye.sys');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
DeleteFile('C:\Documents and Settings\Kasir1\pquebbe.exe');
DeleteFileMask('C:\WINDOWS\TEMP', '*.*', true);
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('zkxsvhye');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
карантин отправил, высылаю новые логи:
-
Запустите компьютер в безопасном режиме.
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\wind7upd.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\wind7upd.exe
Не перезагружаясь, сразу же выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\TEMP\BN4.tmp');
DeleteFile('C:\WINDOWS\wind7upd.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
-
Хм... Он опять на месте!
Придется вам скачать DrWeb LiveCD и пролечиться им. Довольно долго, зато надежно. В его базах ваши зловреды есть, так что результат должен быть 100%.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
а в безопасном режиме cureit-ом не пойдет?
-
Может и пойдет, только свежий скачайте, а то вы же сами писали:
Сообщение от
alextim2
провели сканирование утилитой Cureit - ничего не нашла
I am not young enough to know everything...
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 39
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\kasir1\av_md.exe - Backdoor.Win32.HareBot.aln ( DrWEB: Trojan.Inject.7433 )
- c:\documents and settings\kasir1\photo_id.exe - Trojan.Win32.Inject.alsl ( DrWEB: Trojan.Inject.7422, BitDefender: Trojan.Generic.2793846, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\documents and settings\kasir1\pquebbe.exe - Backdoor.Win32.Inject.cvj ( DrWEB: BackDoor.Tofsee, BitDefender: Trojan.Inject.WA, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\docume~1\kasir1\locals~1\temp\bn1.tmp - Backdoor.Win32.Emegrab.e ( DrWEB: BackDoor.Siggen.3862, BitDefender: Trojan.Generic.2717295, AVAST4: Win32:Agent-PTI [Trj] )
- c:\windows\system32\av_md.exe - Backdoor.Win32.HareBot.aln ( DrWEB: Trojan.Inject.7433 )
- c:\windows\system32\photo_id.exe - Trojan.Win32.Inject.alsl ( DrWEB: Trojan.Inject.7422, BitDefender: Trojan.Generic.2793846, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\temp\bn3.tmp - Backdoor.Win32.Emegrab.e ( DrWEB: BackDoor.Siggen.3862, BitDefender: Trojan.Generic.2717295, AVAST4: Win32:Agent-PTI [Trj] )
- c:\windows\wind7upd.exe - Trojan.Win32.Buzus.cqjn ( DrWEB: BackDoor.IRC.Bot.157, BitDefender: Trojan.Generic.2791083, AVAST4: Win32:Malware-gen )
-