Junior Member
Вес репутации
57
Здравствуйте!
Подцепил какую-то гадость: антивирус NOD32 постоянно обнаруживает и удаляет некие последствия, но не причину проблемы. Появляется сообщение в панели задач 'Your computer is infected....'. Ранее уже было такое упоминание в одной из тем.
Выполнил правила. HiJack автоматом не сохранил лог, а показал его в блокноте, поэтому он в формате тхт. Надеюсь, это не проблема. Помогите, пожалуйста.
Большое спасибо!
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Junior Member
Вес репутации
57
Логи
Прошу прощения за обращение без логов: пытался загрузить, но не вышло. Сорвали с места по работе, пришлось просто все бросить, к сожалению. Надеюсь, сейчас логи приложатся
Спасибо большое за понимание!
Вложения
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\Winyw41.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winwc72.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Winui33.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Winrh88.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Winjy03.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Winhf38.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winap26.sys','');
QuarantineFile('C:\DOCUME~1\Andrey\LOCALS~1\Temp\loader.exe','');
QuarantineFile('C:\WINDOWS\services.exe','');
QuarantineFile('C:\WINDOWS\system32\7z.exe','');
QuarantineFile('C:\WINDOWS\system32\blphc7g2j0eaag.scr','');
QuarantineFile('C:\WINDOWS\system32\braviax.exe','');
QuarantineFile('C:\WINDOWS\system32\lphc7g2j0eaag.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('syslink.dll','');
QuarantineFile('C:\WINDOWS\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\symavc32.sys','');
DeleteService('AppMgmtCOMSysApp');
DeleteService('CiSvcTermService');
DeleteService('CryptSvcNtmsSvc');
DeleteService('FastUserSwitchingCompatibilitySchedule');
DeleteService('FastUserSwitchingCompatibilitywscsvc');
DeleteService('helpsvcPolicyAgent');
DeleteService('lanmanserverTapiSrv');
DeleteService('LVSrvLauncherRSVPstisvc');
DeleteService('Messengerwinmgmt');
DeleteService('Messengerwuauserv');
DeleteService('NetlogonERSvc');
DeleteService('Nlawuauserv');
DeleteService('osemsupdate');
DeleteService('PlugPlayHidServ');
DeleteService('PmlRSVP');
DeleteService('PmlRSVPSharedAccess');
DeleteService('RasManSSDPSRV');
DeleteService('RasManSSDPSRVSwPrv');
DeleteService('RemoteAccessERSvc');
DeleteService('RemoteRegistryNOD32krn');
DeleteService('RSVPstisvc');
DeleteService('SamSsSwPrv');
DeleteService('SamSsSwPrvPlugPlayHidServ');
DeleteService('SCardSvrLVSrvLauncherRSVPstisvc');
DeleteService('ScheduleSysmonLog');
DeleteService('TermServiceNetlogon');
DeleteService('ThemesERSvc');
DeleteService('TrkWksPlugPlay');
DeleteService('winmgmtDcomLaunch');
DeleteService('winmgmtDcomLaunchCryptSvc');
DeleteService('WmiApSrvEventSystem');
DeleteService('WmiNtmsSvc');
DeleteService('symavc32');
DeleteService('Winyw41');
DeleteService('Winwc72');
DeleteService('Winui33');
DeleteService('Winrh88');
DeleteService('Winjy03');
DeleteService('Winhf38');
DeleteService('Winap26');
DeleteFile('C:\WINDOWS\winlogon.exe');
DeleteFile('syslink.dll');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\lphc7g2j0eaag.exe');
DeleteFile('C:\WINDOWS\system32\braviax.exe');
DeleteFile('C:\WINDOWS\system32\blphc7g2j0eaag.scr');
DeleteFile('C:\WINDOWS\system32\7z.exe');
DeleteFile('C:\WINDOWS\services.exe');
DeleteFile('C:\DOCUME~1\Andrey\LOCALS~1\Temp\loader.exe');
DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winap26.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winhf38.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winjy03.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winrh88.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winui33.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwc72.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winyw41.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('AppMgmtCOMSysApp');
BC_DeleteSvc('CiSvcTermService');
BC_DeleteSvc('CryptSvcNtmsSvc');
BC_DeleteSvc('FastUserSwitchingCompatibilitySchedule');
BC_DeleteSvc('FastUserSwitchingCompatibilitywscsvc');
BC_DeleteSvc('helpsvcPolicyAgent');
BC_DeleteSvc('lanmanserverTapiSrv');
BC_DeleteSvc('LVSrvLauncherRSVPstisvc');
BC_DeleteSvc('Messengerwinmgmt');
BC_DeleteSvc('Messengerwuauserv');
BC_DeleteSvc('NetlogonERSvc');
BC_DeleteSvc('Nlawuauserv');
BC_DeleteSvc('osemsupdate');
BC_DeleteSvc('PlugPlayHidServ');
BC_DeleteSvc('PmlRSVP');
BC_DeleteSvc('PmlRSVPSharedAccess');
BC_DeleteSvc('RasManSSDPSRV');
BC_DeleteSvc('RasManSSDPSRVSwPrv');
BC_DeleteSvc('RemoteAccessERSvc');
BC_DeleteSvc('RemoteRegistryNOD32krn');
BC_DeleteSvc('RSVPstisvc');
BC_DeleteSvc('SamSsSwPrv');
BC_DeleteSvc('SamSsSwPrvPlugPlayHidServ');
BC_DeleteSvc('SCardSvrLVSrvLauncherRSVPstisvc');
BC_DeleteSvc('ScheduleSysmonLog');
BC_DeleteSvc('TermServiceNetlogon');
BC_DeleteSvc('ThemesERSvc');
BC_DeleteSvc('TrkWksPlugPlay');
BC_DeleteSvc('winmgmtDcomLaunch');
BC_DeleteSvc('winmgmtDcomLaunchCryptSvc');
BC_DeleteSvc('WmiApSrvEventSystem');
BC_DeleteSvc('WmiNtmsSvc');
BC_DeleteSvc('symavc32');
BC_DeleteSvc('Winyw41');
BC_DeleteSvc('Winwc72');
BC_DeleteSvc('Winui33');
BC_DeleteSvc('Winrh88');
BC_DeleteSvc('Winjy03');
BC_DeleteSvc('Winhf38');
BC_DeleteSvc('Winap26');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer . Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы.
- Прикрепите логи к новому сообщению.
Junior Member
Вес репутации
57
Большое человеческое спасибо! Похоже, зараза побеждена
С уважением,
Андрей
Вложения
-Пофиксите
Код:
O17 - HKLM\System\CCS\Services\Tcpip\..\{3AD26054-013B-43EE-979E-927AD007A7AF}: NameServer = 85.255.114.71,85.255.112.60
O17 - HKLM\System\CCS\Services\Tcpip\..\{B28264D2-E074-4C3E-A80F-C25DBA41789C}: NameServer = 85.255.114.71,85.255.112.60
O17 - HKLM\System\CCS\Services\Tcpip\..\{BCD52451-D8CF-47FD-AFB9-274CE14D3ACD}: NameServer = 85.255.114.71,85.255.112.60
O17 - HKLM\System\CCS\Services\Tcpip\..\{E37372E8-E855-4EDE-B97A-F696E308B204}: NameServer = 85.255.114.71,85.255.112.60
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.71 85.255.112.60
O20 - Winlogon Notify: syslink - C:\WINDOWS\
- Выполните скрипт
Код:
begin
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки.
- Сделайте повторные логи
Код:
virusinfo_syscheck.zip
hijackthis.log
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2 п.4 правил).
- Прикрепите логи к новому сообщению.
Junior Member
Вес репутации
57
Все сделал. Карантин загрузил.
Спасибо!
Вложения
Выполните проверку CureIt в безопасном режиме.
Junior Member
Вес репутации
57
Спасибо!
Проверил при помощи CureIt в безопасном режиме. Обнаружены только зараженные файлы в его собственном карантине. Удалены.
Спасибо за помощь!
С уважением,
Андрей
Логи после CureIt сделайте , плиз.
Junior Member
Вес репутации
57
Забегался совсем
Логи после CureIt:
Вложения
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\15.exe',' ');
QuarantineFile('C:\WINDOWS\system32\drivers\296.exe',' ');
QuarantineFile('C:\WINDOWS\system32\drivers\390.exe',' ');
QuarantineFile(' C:\WINDOWS\system32\drivers\937.exe',' ');
DeleteFile(' C:\WINDOWS\system32\drivers\937.exe');
DeleteFile('C:\WINDOWS\system32\drivers\390.exe ');
DeleteFile('C:\WINDOWS\system32\drivers\296.exe');
DeleteFile('C:\WINDOWS\system32\drivers\15.exe ');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(5 );
ExecuteRepair(6 );
RegKeyStrParamWrite('HKEY_USERS','.DEFAULT\Control Panel\Desktop','Wallpaper','');
RebootWindows(true);
end.
Повторите лог virusinfo_syscure...
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 42 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\system32\\braviax.exe - Backdoor.Win32.UltimateDefender.gen (DrWEB: Trojan.Fakealert.1323) c:\\windows\\winlogon.exe - Packed.Win32.Tibs.lc (DrWEB: Trojan.Proxy.3302)