Показано с 1 по 5 из 5.

Вирус создаёт в корне дисков *.exe, *.pif, *.inf (заявка № 30165)

  1. #1
    Junior Member Репутация
    Регистрация
    13.09.2008
    Адрес
    Брест
    Сообщений
    19
    Вес репутации
    34

    Вирус создаёт в корне дисков *.exe, *.pif, *.inf

    Здравствуйте! Очень нужна ваша помощь!
    Вирус отключил taskmgr, regedit. Создаёт в корне некоторых дисков файлы типа kdsjhf.exe, autorun.inf, jirnfsda.pif (пример. они могут всегда называться по разному). Сделал всё как указано в rules, но т.к. компьютнр находится в домене, такое ощущение что если подгрузиться под Администратором не в домене, а просто на этом компе, то будут дркгие результаты тестов(т.к. под Администратором диспетчер задач работает), так же такое же ощущение если подгрузиться под другим пользователем в домене. Так же этот вирус(или не этот...) отключил полностью работу касперского(версия 6.0.2.690 для рабочей станции в домене + сам KAT в домене показывает, что все компьютеры в домене находятся в критическом состоянии).
    Логи прикладываю.
    Надеюсь на скорую помощь, т.к. у самого ничего не получается, и времени очень мало, т.к. я подозреваю, что нужно ещё будет лечить сервер........... Спасибо заранее.

    Да, забыл сказать касперский когда ещё работал, на эти файлы в корне дисков никак не реагировал, хотя базы регулярно обнавляются.
    Нашел на вашем форуме несколько похожих тем, но т.к. в правилах написано что для каждой машины всё будет индивидуально, прошу вас посмотреть, и помочь в данной ситуации. Спасибо.
    Последний раз редактировалось leon; 05.10.2008 в 22:16.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    -Пофиксите
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
    O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\drivers\soqjnl.sys','');
     QuarantineFile('I:\autorun.inf','');
     QuarantineFile('I:\uthcd.pif','');
     DeleteService('dac970nt');
     DeleteFile('I:\uthcd.pif');
     DeleteFile('I:\autorun.inf');
     DeleteFile('C:\WINDOWS\system32\drivers\soqjnl.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('dac970nt');
    executerepair(17);
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    13.09.2008
    Адрес
    Брест
    Сообщений
    19
    Вес репутации
    34
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    -Пофиксите
    1. От сети отключаю(выдергиваем кабель)
    2. Не работет/не запускается
    3. отключено
    4. пофиксил всё кроме O23. Ввожу как показано на примере что нужно в скобочках если есть, пишет что просесс работает/занят... что делать не знаю.
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
    O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    Что делать с этим кодом?
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\drivers\soqjnl.sys','');
     QuarantineFile('I:\autorun.inf','');
     QuarantineFile('I:\uthcd.pif','');
     DeleteService('dac970nt');
     DeleteFile('I:\uthcd.pif');
     DeleteFile('I:\autorun.inf');
     DeleteFile('C:\WINDOWS\system32\drivers\soqjnl.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('dac970nt');
    executerepair(17);
    BC_Activate;
    RebootWindows(true);
    end.
    Скрипт не выполнял, пока первое не сделано правильно как вы просили. Да, ИЕЕхсплорер не запускается-уже пишет что обнаружена ошибка приложение будет закрыто.. что с этим делать?
    Диспетчер задач и редактор реестра включаются на пару секунд если в AVZ запустить мастер поиска и устранения проблем. там их всего шесть.. блокировка реестра, диспетчера, элементов пуск, автозапуск с хдд, с сетевых дисков, со сменных носителей.

    Дальше не делал.
    Жду ответа что делать.

    Если есть возможность может в icq?
    Последний раз редактировалось leon; 14.09.2008 в 20:30.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.08.2005
    Адрес
    Узбекистан, Ташкент
    Сообщений
    2,117
    Вес репутации
    1799
    Цитата Сообщение от leon Посмотреть сообщение
    Жду ответа что делать.
    1. Выполнить скрипт.
    2. Прислать карантин.
    3. Повторить логи.
    4. Перечислить оставшиеся проблемы (если таковые будут).

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от leon Посмотреть сообщение
    4. пофиксил всё кроме O23.
    Все фиксить не нужно -только указанное, О23 я Вас и не просил фиксить.
    В остальном - читаем сообщение Синауридзе Александр

  • Уважаемый(ая) leon, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. QGS.exe в корне дисков (заявка №50158)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 27.01.2011, 18:00
    2. Пропали файлы в корне дисков
      От SiTy в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 25.11.2010, 03:54
    3. появляются exe и pif файлы в корне дисков (заявка №29390)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 1
      Последнее сообщение: 10.09.2010, 20:00
    4. В корне дисков появляется файл Documents.scr
      От Arhimed в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 20.10.2009, 23:00
    5. в корне дисков регулярно появляется троян
      От petrogradsky в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 14.02.2009, 15:05

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00118 seconds with 16 queries