Junior Member
Вес репутации
58
Касперский вылетает в синий экран
Добрый вечер!
Близкая родственница в другом городе нахватала вирусов.
Касперский при проверке вылетает в синий экран, на Рабочем столе картинка с предупреждением о вирусах, в памяти странные процессы висят, свойства рабочего стола частично скрыты.
Посмотрите, пожалуйста, логи и погогите вылечить.
Подключаюсь к ней через Радмин и логи собирал так же.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
скачайте C:\WINDOWS\system32\Drivers\Winag17.sys - force delete
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\loader.exe','');
QuarantineFile('C:\WINDOWS\system32\oembios.exe','');
QuarantineFile('C:\WINDOWS\services.exe','');
DeleteService('smtpdrv');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
DeleteService('Winag17');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winag17.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('c:\windows\system32\lphc1roj0ets1.exe','');
DeleteFile('c:\windows\system32\lphc1roj0ets1.exe');
DeleteFile('C:\WINDOWS\system32\lphc1roj0ets1.exe');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Winag17.sys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
DeleteFile('C:\WINDOWS\system32\blphc1roj0ets1.scr');
DeleteFile('C:\WINDOWS\services.exe');
DeleteFile('C:\WINDOWS\system32\oembios.exe');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\loader.exe');
BC_ImportDeletedList;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пофиксите ...
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\oembios.exe,
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
Junior Member
Вес репутации
58
пофиксите ...
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\oembios.exe,
Вот эту строчку не нашел, видимо вчера уже пофиксил исправляя автозагрузку во время ожидания ответа.
Карантин отправил. Логи прикрепляю.
В свойствах экрана вкладки не появились. Восстановлю сам при помощь AVZ.
Вложения
скачайте C:\WINDOWS\System32\Drivers\Winag17.sys - force delete
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\blphc1roj0ets1.scr','');
QuarantineFile('C:\WINDOWS\system32\lphc1roj0ets1.exe','');
DeleteService('Winag17');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winag17.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('c:\windows\system32\drivers\421.exe','');
DeleteFile('c:\windows\system32\drivers\421.exe');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Winag17.sys');
DeleteFile('C:\WINDOWS\system32\lphc1roj0ets1.exe');
DeleteFile('C:\WINDOWS\system32\blphc1roj0ets1.scr');
DeleteFile('WinCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
Junior Member
Вес репутации
58
Первое действие уже в прошлый раз выполнил и повторно этот файл не нашел.
Логи прикрепляю, карантин высылаю.
Вложения
Ничего зловредного в логах нет.
Пофиксите в HijackThis:
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
Сердце решает кого любить... Судьба решает с кем быть...
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 7 В ходе лечения обнаружены вредоносные программы:
c:\\documents and settings\\администратор\\local settings\\temp\\loader.exe - Trojan-Downloader.Win32.Agent.adci (DrWEB: Trojan.DownLoad.2077) c:\\windows\\system32\\lphc1roj0ets1.exe - Backdoor.Win32.Frauder.bu (DrWEB: Trojan.Packed.619) c:\\windows\\system32\\oembios.exe - Trojan-Spy.Win32.Zbot.ehi (DrWEB: Trojan.Proxy.2509) c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.aza (DrWEB: Trojan.Packed.573)