-
Junior Member
- Вес репутации
- 52
Подцепил вирус, он заблокировал: Деспечер задач,regedit,Безопасный режим/
Доброе время суток.
На днях подцепил вирус.
Вирус блокировал Virustotal.com,AVZ,деспечер задач,редакттирование реестора,безопасный режим(при выборе этого режима он перезагружался)
Проверил антивирусом AVG - он нашёл пару вирусов + обнаружил в AVPtools.exe вирус - Я проигнорировал. Запустил AVPtools тот ничего не обнаружил.
Сделал проверку cureIt - так же пусто.
Безопасный режим по прежнему не доступен!
После этих проверок начал запускаться AVZ. В логах красным шрифтом он обнаружил вирусы(вроде):
Код:
Функция NtAllocateVirtualMemory (11) перехвачена (8056FBB6->F776C2C4), перехватчик E:\WINDOWS\system32\Drivers\dwprot.sys
Функция NtCreateThread (35) перехвачена (805840DD->F776D8F6), перехватчик E:\WINDOWS\system32\Drivers\dwprot.sys
Функция NtFreeVirtualMemory (53) перехвачена (805700B0->F776C550), перехватчик E:\WINDOWS\system32\Drivers\dwprot.sys
Функция NtOpenSection (7D) перехвачена (8057CF33->F776C0E2), перехватчик E:\WINDOWS\system32\Drivers\dwprot.sys
Функция NtQueueApcThread (B4) перехвачена (805AF421->F776D9FE), перехватчик E:\WINDOWS\system32\Drivers\dwprot.sys
Функция NtSetContextThread (D5) перехвачена (806340DB->F776DA4A), перехватчик E:\WINDOWS\system32\Drivers\dwprot.sys
Функция NtSystemDebugControl (FF) перехвачена (8064F4ED->F776BFF8), перехватчик E:\WINDOWS\system32\Drivers\dwprot.sys
Функция NtWriteVirtualMemory (115) перехвачена (805869E5->F776C660), перехватчик E:\WINDOWS\system32\Drivers\dwprot.sys
7. Эвристичеcкая проверка системы
>>> Обратите внимание - заблокирован диспетчер задач
>>> C:\autorun.inf ЭПС: подозрение на скрытый автозапуск (высокая степень вероятности)
>>> E:\Program Files\messenger\msmsgs.exe ЭПС: подозрение на Файл с подозрительным именем (CH)
Прошу помощи, заранее спасибо!
UPD: Не работает ещё Skype
Недостаточно прав,для запуска exe файлов(DC++ в частности)
Последний раз редактировалось m00nster; 15.10.2011 в 21:54.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) m00nster, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Извините,что кокретно от меня требуется?
Я не могу выйти в безопасный режим.
-
Логи нужны из нормального режима (см. раздел Диагностика)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Сообщение от
thyrex
Логи нужны из нормального режима (см. раздел Диагностика)
Сделал то что вы просили
-
Junior Member
- Вес репутации
- 52
Вот ещё лог HijackThis (Там уже вирусные процесы вижу,которые не дают запускать антивирусы)
+вся информация в изображениях(с Process explorer не удалось скопировать текст)
-
Junior Member
- Вес репутации
- 52
Вот анализ на вирустотал: http://www.virustotal.com/file-scan/...b1d-1318726021
Только беда в том,что эти файлы при закрытии процесса удаляются,и появляются файлы с другим названием.
Последний раз редактировалось m00nster; 16.10.2011 в 05:02.
-
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\ekuyoo.pif','');
QuarantineFile('C:\autorun.inf','');
DeleteService('amsint32');
DeleteService('abp470n5');
DeleteFile('E:\WINDOWS\system32\drivers\mglqrg.sys');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\ekuyoo.pif');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(10);
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Какрантина нету(возможно я поспешил сделать новые логи)
-
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\qnjy.exe','');
QuarantineFile('E:\autorun.inf','');
DeleteFile('E:\autorun.inf');
DeleteFile('E:\qnjy.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Отправил карантин.
Сделал логи:
-
Ваша система поражена файловым вмрусом.
Методика лечения описана здесь: http://virusinfo.info/showthread.php?t=15927.
Рекомендую вариант с DrWeb LiveCD.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 52
Сообщение от
Bratez
образ можно записывать так же с чистого компьютера?
-
Сообщение от
m00nster
образ можно записывать так же с чистого компьютера?
нужно ! записывать на незаражённом компе.
-
-
Junior Member
- Вес репутации
- 52
Сообщение от
regist
нужно ! записывать на незаражённом компе.
по другому этот вирус не лечится?
-
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 52
Нашёл диск с ZverCD, в нём была прога по изменению разделов диска, через неё переименовал файл - который был прописан в автозапуске в формат .txt и удалил строчку c autorum.inf с обеих жёских дисков.
Но эта зараза каким то образом загрузилась заного...
Может удастся что нибудь сделать с програмой на ZverCd?
PS: могу выслать запароленый архив с той заразой,которую он запускает
-
Вручную Вы ничего не добьетесь. Не тратьте время напрасно. Используйте DrWeb LiveCD.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 52
Сообщение от
Bratez
Вручную Вы ничего не добьетесь. Не тратьте время напрасно. Используйте DrWeb LiveCD.
Так может попробывать вручную через программу удалить\изменить названия этих файлов.
Программа грузится с Диска(как при установки винды).
Добавлено через 6 минут
http://www.virustotal.com/file-scan/...3d5-1318768596 вот лог с вирустотала
Последний раз редактировалось m00nster; 16.10.2011 в 16:49.
Причина: Добавлено