-
Junior Member
- Вес репутации
- 57
Зависают все браузеры
Сперва стали жутко тормозить все браузеры, которыми я пользовался, затем заблокировались все сайты производителей антивирусов, другие сайты открывались. Исчезли вкладки в "Свойствах экрана" смены заставки и обоев на рабочий стол, и заместо этого на рабочем столе появилась картинка с окном странного антивируса с кнопкой его активировать. С помощью твикера удалось это исправить. Далее на дисках появились файлы autorun.inf и папки resycled. После удаления восстанавливаются. И в ветке HKEY_LOCAL_MACHINE/sofware/microsoft/windows/current version/run появился новый ключ "C:\WINDOWS\system32\kdanv.exe", который тоже восстанавливается после удаления. В диспетчере задач данного процесса нет, но жутко грузит процесс System. Так же исчезла вкладка "Восстановление системы", поэтому отключить ее не удалось.
Последний раз редактировалось Sway; 21.09.2010 в 15:42.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
Пофиксить
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{25F1A546-BE4C-4B2C-AA28-C7E3367219F9}: NameServer = 85.255.116.46,85.255.112.93
O17 - HKLM\System\CCS\Services\Tcpip\..\{A5C855EA-B443-429B-B7E4-530FEC0515D7}: NameServer = 85.255.116.46,85.255.112.93
O17 - HKLM\System\CS1\Services\Tcpip\..\{25F1A546-BE4C-4B2C-AA28-C7E3367219F9}: NameServer = 85.255.116.46,85.255.112.93
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\System32\userinit.exe','');
QuarantineFile('C:\WINDOWS\system32\kdanv.exe','');
QuarantineFile('C:\WINDOWS\system32\dll.dll','');
DeleteFile('C:\WINDOWS\system32\dll.dll');
DeleteFile('C:\WINDOWS\system32\kdanv.exe');
DeleteFile('C:\WINDOWS\system32\blphc53rj0eeep.scr');
DeleteFile('kdanv.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин по правилам и повторите логи...
-
-
Junior Member
- Вес репутации
- 57
Карантин отправил, только вопрос. Нужно было после повторных логов делать архив или сразу после фиксов?
Последний раз редактировалось Sway; 21.09.2010 в 15:42.
-
autorun.inf-Worm.Win32.AutoRun.nuu
autorun.inf-Worm.Win32.AutoRun.onp
userinit.exe-Trojan-Downloader.Win32.Agent.agti
Пофиксить
Код:
O17 - HKLM\System\CCS\Services\Tcpip\..\{A5C855EA-B443-429B-B7E4-530FEC0515D7}: NameServer = 85.255.116.46,85.255.112.93
O17 - HKLM\System\CS1\Services\Tcpip\..\{25F1A546-BE4C-4B2C-AA28-C7E3367219F9}: NameServer = 82.200.130.10 82.200.130.231
userinit.exe нужно заменить на чистый из дистрибутива, жалобы есть?
-
-
Junior Member
- Вес репутации
- 57
Спасибо большое, только вот теперь не загружается рабочий стол, появляется картинка на рабочем столе и курсор. Удалось запустить через "Выполнить" Explorer.
-
SP3 ставьте и будет вам счастье
-
-
Junior Member
- Вес репутации
- 57
-
Сообщение от
Sway
Он самый и стоит.
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
-
-
Junior Member
- Вес репутации
- 57
Сорри, помню, что ставил, значит опять ставить буду.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 16
- В ходе лечения обнаружены вредоносные программы:
- c:\\autorun.inf - Worm.Win32.AutoRun.nuu (DrWEB: Win32.HLLW.Autoruner.2805)
- c:\\windows\\system32\\userinit.exe - Trojan-Downloader.Win32.Agent.agti (DrWEB: Trojan.DownLoad.9175)
- d:\\autorun.inf - Worm.Win32.AutoRun.onp (DrWEB: Win32.HLLW.Autoruner.2805)
-