Показано с 1 по 13 из 13.

Вирус в MBR-секторе и не работает сеть (заявка № 101373)

  1. #1
    Junior Member Репутация
    Регистрация
    26.04.2011
    Сообщений
    7
    Вес репутации
    25

    Thumbs up Вирус в MBR-секторе и не работает сеть

    NOD32 нашол вирус в MBR-секторе диска, как удалить не знаю.
    После перезагрузки NOD ругается на процесс ali.exe
    Мало того до этого был троян, удалил. Но после удаления перестала работать сеть.

    Заражение на компьютере который раздаёт интернет.
    Общий доступ на диск D: и F: нормальный.

    Помогите пожалуйста решить проблему с сетью и вирусом на MBR-секторе

    Логи НОДа
    загрузочный сектор MBR-сектор физического диска 0 Win32/TrojanDownloader.VB.OXW
    файл C:\WINDOWS\ali.exe модифицированный Win32/TrojanDownloader.Troxen.AC
    Последний раз редактировалось Provisor; 26.04.2011 в 15:01. Причина: добавлены логи НОД32

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\hra33.dll','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-1004336348-1123561945-682003330-500\Dc1613.rar','');
     QuarantineFile('C:\Program Files\Common Files\yiranr.dll','');
     QuarantineFile('C:\Program Files\Common Files\lanmao.exe','');
     QuarantineFile('C:\Documents and Settings\All Users\Application Data\Storm\update\Console\nbwef.cc3','');
     QuarantineFile('C:\Documents and Settings\All Users\Application Data\Storm\update\Console\iphvf.cc3','');
     QuarantineFile('C:\Documents and Settings\All Users\Application Data\Storm\update\Console\fnoey.cc3','');
     DeleteService('darksheii');
     QuarantineFile('C:\WINDOWS\system32\drivers\tcpz-x86d.sys','');
     DeleteService('TCPZ');
     DeleteService('cSWHKiER');
     DeleteService('rYHlGiiZ');
     DeleteService('T1Crr6fXr');
     DeleteService('windows');
     DeleteService('zyVuLAiC');
     DeleteFile('C:\WINDOWS\system32\drivers\tcpz-x86d.sys');
     BC_DeleteSvc('darksheii');
     DeleteFile('C:\Program Files\Common Files\lanmao.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\T1Crr6fXr\Parameters','ServiceDll');
     DeleteFile('C:\Program Files\Common Files\yiranr.dll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\22222222','DllName');
     DeleteFile('C:\RECYCLER\S-1-5-21-1004336348-1123561945-682003330-500\Dc1613.rar');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
    - сделайте лог Combofix

  4. #3
    Junior Member Репутация
    Регистрация
    26.04.2011
    Сообщений
    7
    Вес репутации
    25
    Всё сделал, только комбофикс вроде бы не только лог сделал но и что то полечил.
    НОД больше не ругается на вирус в MBR-секторе и на процесс ali.exe.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    
    Driver::
    
    NetSvc::
    
    Folder::
    
    Registry::
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    "xgnxnk"=-
    "WaikSvc"=-
    "WailSvc"=-
    
    FileLook::
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.



    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

  6. #5
    Junior Member Репутация
    Регистрация
    26.04.2011
    Сообщений
    7
    Вес репутации
    25
    Вот.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    - Выполните скрипт в AVZ
    Код:
    var
    i : integer;
    KeyList : TStringList;                      
    begin
    KeyList := TStringList.Create;
    RegKeyEnumKey('HKLM','SYSTEM', KeyList);
    for i := 0 to KeyList.Count-1 do
    if pos('controlset', LowerCase(KeyList[i])) > 0 then
     begin
     if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS') then
      begin
      RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS');
      RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
      AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\BITS исправлено на оригинальное.');
      end;
     if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv') then
      begin 
      RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv');
      RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
      AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\wuauserv исправлено на оригинальное.');
      end;
     end;
    KeyList.Free;
    SaveLog(GetAVZDirectory + 'fystemRoot.log');
     RebootWindows(true);
    end.
    После перезагрузки:
    - Сделайте повторный лог virusinfo_syscheck.zip;

  8. #7
    Junior Member Репутация
    Регистрация
    26.04.2011
    Сообщений
    7
    Вес репутации
    25
    Сделал.

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    Отключите Системное восстановление!!! как- посмотреть можно тут
    - выполните такой скрипт
    Код:
    begin
      DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
      QuarantineFile('C:\WINDOWS\system32\hra33.dll','');
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

    - Удалите ComboFix

  10. #9
    Junior Member Репутация
    Регистрация
    26.04.2011
    Сообщений
    7
    Вес репутации
    25
    Файл сохранён как 110427_075352_quarantine_4db7cb906d1b0.zip
    Размер файла 585
    MD5 76cd13462d0403e855ebae4fe3a34bdf

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    файл чистый

  12. #11
    Junior Member Репутация
    Регистрация
    26.04.2011
    Сообщений
    7
    Вес репутации
    25
    Спасибо большое.

  13. #12
    Junior Member Репутация
    Регистрация
    26.04.2011
    Сообщений
    7
    Вес репутации
    25
    В продолжении всей этой канетели.

    Вирусов нет, но сеть не работает. Брендмауер отключен, сетевуху с перепугу поменял, кабель протестировал. Уже даже не знаю что делать, переустанавливать винду не хочется.

    Посмотрите пожалуйста логи, может что то есть.

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 20
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Provisor, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 4
      Последнее сообщение: 15.03.2012, 19:12
    2. Вирус в секторе физического диска
      От tepish18 в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 01.09.2011, 21:06
    3. вирус в загрузочном секторе
      От rhapsody в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 04.07.2011, 21:13
    4. Не работает сеть. Возможно вирус
      От Nvas в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 26.02.2009, 16:40
    5. Кажется вирус в загрузочном секторе
      От akasin в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 08:13

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00360 seconds with 16 queries