-
Junior Member
- Вес репутации
- 48
Вирус в MBR-секторе и не работает сеть
NOD32 нашол вирус в MBR-секторе диска, как удалить не знаю.
После перезагрузки NOD ругается на процесс ali.exe
Мало того до этого был троян, удалил. Но после удаления перестала работать сеть.
Заражение на компьютере который раздаёт интернет.
Общий доступ на диск D: и F: нормальный.
Помогите пожалуйста решить проблему с сетью и вирусом на MBR-секторе
Логи НОДа
загрузочный сектор MBR-сектор физического диска 0 Win32/TrojanDownloader.VB.OXW
файл C:\WINDOWS\ali.exe модифицированный Win32/TrojanDownloader.Troxen.AC
Последний раз редактировалось Provisor; 26.04.2011 в 16:01.
Причина: добавлены логи НОД32
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\hra33.dll','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1004336348-1123561945-682003330-500\Dc1613.rar','');
QuarantineFile('C:\Program Files\Common Files\yiranr.dll','');
QuarantineFile('C:\Program Files\Common Files\lanmao.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Storm\update\Console\nbwef.cc3','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Storm\update\Console\iphvf.cc3','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Storm\update\Console\fnoey.cc3','');
DeleteService('darksheii');
QuarantineFile('C:\WINDOWS\system32\drivers\tcpz-x86d.sys','');
DeleteService('TCPZ');
DeleteService('cSWHKiER');
DeleteService('rYHlGiiZ');
DeleteService('T1Crr6fXr');
DeleteService('windows');
DeleteService('zyVuLAiC');
DeleteFile('C:\WINDOWS\system32\drivers\tcpz-x86d.sys');
BC_DeleteSvc('darksheii');
DeleteFile('C:\Program Files\Common Files\lanmao.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\T1Crr6fXr\Parameters','ServiceDll');
DeleteFile('C:\Program Files\Common Files\yiranr.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\22222222','DllName');
DeleteFile('C:\RECYCLER\S-1-5-21-1004336348-1123561945-682003330-500\Dc1613.rar');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- сделайте лог Combofix
-
-
Junior Member
- Вес репутации
- 48
Всё сделал, только комбофикс вроде бы не только лог сделал но и что то полечил.
НОД больше не ругается на вирус в MBR-секторе и на процесс ali.exe.
-
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
Driver::
NetSvc::
Folder::
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
"xgnxnk"=-
"WaikSvc"=-
"WailSvc"=-
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
-
-
Junior Member
- Вес репутации
- 48
-
- Выполните скрипт в AVZ
Код:
var
i : integer;
KeyList : TStringList;
begin
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then
begin
if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\BITS исправлено на оригинальное.');
end;
if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\wuauserv исправлено на оригинальное.');
end;
end;
KeyList.Free;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
RebootWindows(true);
end.
После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;
-
-
Junior Member
- Вес репутации
- 48
-
Отключите Системное восстановление!!! как- посмотреть можно тут
- выполните такой скрипт
Код:
begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\hra33.dll','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Удалите ComboFix
-
-
Junior Member
- Вес репутации
- 48
Файл сохранён как 110427_075352_quarantine_4db7cb906d1b0.zip
Размер файла 585
MD5 76cd13462d0403e855ebae4fe3a34bdf
-
-
-
Junior Member
- Вес репутации
- 48
-
Junior Member
- Вес репутации
- 48
В продолжении всей этой канетели.
Вирусов нет, но сеть не работает. Брендмауер отключен, сетевуху с перепугу поменял, кабель протестировал. Уже даже не знаю что делать, переустанавливать винду не хочется.
Посмотрите пожалуйста логи, может что то есть.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 20
- В ходе лечения вредоносные программы в карантинах не обнаружены
-