-
Junior Member
- Вес репутации
- 59
Файлы fci.exe,sys.bak и пр.
Проблема заключается в периодических зависнаях компа и вылетах в синий экран. В принципе просканировал с загрузочного диска Касперского вроде всю заразу поудалял, но хочу на всякий случай проверить у знающих людей не осталось ли чего гадкого на компе. Заранее спасибо за помощь! Логи сканирования прикрепляю!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключите влстановление системы
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('msupdate', 4);
SetServiceStart('FCI', 4);
SetServiceStart('CcEvtSvc', 4);
QuarantineFile('C:\WINDOWS\Installer\db6aad.msi','');
QuarantineFile('C:\WINDOWS\system32\cftmon.exe','');
QuarantineFile('D:\Документы лев\Birthday\Birthday.exe','');
QuarantineFile('C:\WINDOWS\update.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\Program Files\Oleansoft\Hc\Hce.exe','');
QuarantineFile('C:\DOCUME~1\sergei\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('c:\windows\system32\vhosts.exe','');
QuarantineFile('FCI.sys','');
QuarantineFile('CcEvtSvc.sys','');
QuarantineFile('C:\WINDOWS\system32\sysuser\sys2.dll','');
QuarantineFile('C:\WINDOWS\system32\sysuser\sys.dll','');
QuarantineFile('C:\WINDOWS\system32\cpwmon2k.dll','');
QuarantineFile('System.exe','');
QuarantineFile('C:\WINDOWS\system32\sysuser\System.exe','');
DeleteFile('C:\WINDOWS\system32\sysuser\System.exe');
DeleteFile('System.exe');
DeleteFile('C:\WINDOWS\system32\sysuser\sys.dll');
DeleteFile('C:\WINDOWS\system32\sysuser\sys2.dll');
DeleteFile('CcEvtSvc.sys');
DeleteFile('FCI.sys');
DeleteFile('c:\windows\system32\vhosts.exe');
DeleteFile('C:\DOCUME~1\sergei\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\update.exe');
DeleteFile('C:\WINDOWS\system32\cftmon.exe');
DeleteFile('C:\Documents and Settings\sergei\Local Settings\Temp\winlogon.exe');
DeleteService('msupdate');
DeleteService('FCI');
DeleteService('CcEvtSvc');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
Пофиксить в HijackThis следующие строчки
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
Обновите базы AVZ и повторите логи.
Microsoft Most Valuable Professional in Consumer Security
-
Junior Member
- Вес репутации
- 59
Не успеваю запустить avz выскакивает синий экран в безопасном режиме не загружается... Что можно в такой ситуации сделать?
-
хмм попробуйте скачать эту версию AVZ
Microsoft Most Valuable Professional in Consumer Security
-
логи из под загрузочного диска не годятся ....
из папки WINDOWS\Minidump последний по времени файл запакуйте и приложите ...
-
-
Junior Member
- Вес репутации
- 59
Запустить удалось только через загрузочный диск с PE каспером. Прикрепляю логи и карантин... Логи сделаны не из под загрузочного диска, просто в первый раз запустил из-под загрузочного, потом повторил в нормальном режиме...
-
всеже давайте минидамп ...
-
-
Junior Member
- Вес репутации
- 59
Последний по дате файл из папки Minidump
-
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\DefLib.sys','');
DeleteFile('C:\WINDOWS\system32\DefLib.sys ');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ....
повторите логи ...
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 22
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\sergei\\local settings\\temp\\winlogon.exe - Trojan-Proxy.Win32.Small.kj (DrWEB: Trojan.Packed.573)
- c:\\windows\\system32\\sysuser\\sys2.dll - not-a-virus:RiskTool.Win32.HideProc.g (DrWEB: Trojan.PWS.Qqpass.1305)
-