Показано с 1 по 12 из 12.

Последствия вируса:... (заявка № 26751)

  1. #1
    Junior Member Репутация
    Регистрация
    19.07.2008
    Сообщений
    9
    Вес репутации
    58

    Thumbs up Последствия вируса:...

    ....Avast определяет malware Win32:Zbot-AHW[Trj] и выдаёт сообщение о рутките, ссылаясь на файл C:\WINDOWS\System32\NTOS.EXE; CureIt пишет, что файл инфицирован Trojan.Proxy.3211
    Добрый день!
    Посмотрите, пожалуйста, эти логи!
    Всё началось с того, что на рабочем столе в жёлтой рамочке на синем фоне появилась надпись типа (дословно уже не помню) "Warning! Spyware detected on your computer. Install an antivirus or antispyware program to clean your computer". При этом в свойствах рабочего стола был заблокирован доступ к заставкам и обоям. При загрузке комп выдавал сообщение, что не может найти какой-то файл сценария, открывался блокнот с иероглифами. Avast регулярно стал выдавать сообщения о рутките, предлагал перезагрузку и проверку компьютера, при этом было удалено много файлов, но ситуация особо не изменилась.
    Закачал AVZ. Доступ к смене заставок и фона рабочего стола был разблокирован. По имени той самой картинки с надписью в жёлтой рамочке в безопасном режиме отыскал 3 файла: сам рисунок jpeg с этой надписью, файл заставки с похожим именем и какое-то приложение exe. Эти файлы удалил.
    Сообщение о том, что файл сценария не удаётся найти, больше не появляется, блокнот тоже не выскакивает. Однако Avast определяет руткит (см. заголовок темы) да и утилита DrWeb CureIt не внушает оптимизма. Решил обратиться к Вам за помощью, сделал всё, как сказано в правилах.
    Заранее благодарен за внимание к моей теме, жду от Вас информации.
    Спасибо!
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 19.07.2008 в 23:16. Причина: заглавие укорочено, остаток перенесен в тело сообщения
    Игорь

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное востановление.
    -Пофиксите
    Код:
    O4 - HKLM\..\Run: [xp_sys] "C:\WINDOWS\ServicePackFiles\mmwnd.exe" updated
    O4 - HKLM\..\Run: [lphc3ffj0ec6d] C:\WINDOWS\system32\lphc3ffj0ec6d.exe
    O4 - HKCU\..\Run: [xp_sys] "C:\WINDOWS\ServicePackFiles\mmwnd.exe" updated
    O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\ИГОРЬ\LOCALS~1\Temp\winlogon.exe
    O4 - HKCU\..\Run: [iexplorer] C:\WINDOWS\iexplorer.exe --system
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\IntEdReg.exe','');
     QuarantineFile('C:\DOCUME~1\ИГОРЬ\LOCALS~1\Temp\winlogon.exe','');
     QuarantineFile('C:\WINDOWS\ServicePackFiles\mmwnd.exe','');
     QuarantineFile('C:\WINDOWS\iexplorer.exe','');
     QuarantineFile('C:\WINDOWS\system32\lphc3ffj0ec6d.exe','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('C:\WINDOWS\system32\lphc3ffj0ec6d.exe');
     DeleteFile('C:\WINDOWS\iexplorer.exe');
     DeleteFile('C:\WINDOWS\ServicePackFiles\mmwnd.exe');
     DeleteFile('C:\DOCUME~1\ИГОРЬ\LOCALS~1\Temp\winlogon.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по красной ссылке вверху темы.
    - Прикрепите логи к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    19.07.2008
    Сообщений
    9
    Вес репутации
    58

    Готово, всё сделал.

    Посмотрите, пожалуйста! Что-нибудь видно?
    Вложения Вложения
    Игорь

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт ....
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\Drivers\SensiveGuard.SYS','');
    BC_ImportQuarantineList;
     BC_Activate;
     RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    Последний раз редактировалось V_Bond; 20.07.2008 в 10:48.

  6. #5
    Junior Member Репутация
    Регистрация
    19.07.2008
    Сообщений
    9
    Вес репутации
    58
    карантин выслал, но, кажется, там один из файлов остался со вчерашнего дня и я его уже отсылал...
    Игорь

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    C:\WINDOWS\System32\Drivers\SensiveGuard.SYS - пришлите согласно приложения 2 правил ...

  8. #7
    Junior Member Репутация
    Регистрация
    19.07.2008
    Сообщений
    9
    Вес репутации
    58
    Судя по названию, этот файл принадлежит прграммке-firewall SensiveGuard. Я её на днях установил под влиянием всей этой истории с вирусом, но буквально сегодня в течение дня удалил, поэтому AVZ не может найти файл, выдаётся следующее сообщение: "Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\System32\Drivers\SensiveGuard.SYS)
    Карантин с использованием прямого чтения - ошибка".
    Что дальше делать будем? Подозрения только по поводу этого файла были? Может, новые логи прислать?
    Игорь

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    скажите, какая проблема сейчас заметна?

  10. #9
    Junior Member Репутация
    Регистрация
    19.07.2008
    Сообщений
    9
    Вес репутации
    58
    Добрый день!
    Никаких внешних проявлений я не замечаю, Avast перестал выдавать сообщения о рутките. Но в ходе полной проверки дисков на максимальном уровне было удалено несколько файлов, заражённых троянами. Среди названий фигурировали следующие: Win32bot-AHW [Trj], Win32:Trojan-gen...
    CureIt вирусов не определяет.
    Может, посмотрите новые логи?
    Спасибо.
    Вложения Вложения
    Игорь

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    в логах ничего плохого ...

  12. #11
    Junior Member Репутация
    Регистрация
    19.07.2008
    Сообщений
    9
    Вес репутации
    58
    Ясно! Большое спасибо за помощь!!! Отличный сайт и отличные люди, очень Вам благодарен!
    Игорь

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 5
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) krugger86, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Последствия вируса
      От xlim в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 25.10.2011, 20:05
    2. Последствия вируса
      От Christian в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 29.10.2010, 09:57
    3. Последствия вируса (или нет?)
      От Faust063 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 06.01.2010, 14:35
    4. Последствия вируса?
      От tov-serjant в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 22.02.2009, 07:03
    5. Последствия вируса
      От Постовой в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 01.08.2008, 11:11

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01425 seconds with 20 queries