Junior Member
Вес репутации
59
your computer is infected и т.д.
Здравствуйте. Знакомые пожаловались, что компьютер перегружается через пару минут после подключения к интернету. В трее был красный круг с белым крестиком с которого выдовало системное сообщение "your computer is infected". AVZ и HijackThis не запускались. Загрузился с лив СД проверил доктор вебом, который поудалял много гадости. После перезагрузки все вернулось на свое место. AVZ смог запустить только после того как переименовал файл avz.exe. HijackThis не запускался никаким образом. Прилагаю логи какие смог сделать
Вложения
Последний раз редактировалось V_Bond; 23.10.2008 в 22:26 .
Причина: карантин в теме
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
скачайте найдите и удалите следующие файлы -force delete
Код:
C:\WINDOWS\system32\Drivers\ati3ptxx.sys
C:\WINDOWS\system32\Drivers\Winwc61.sys
віполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\msansspc.dll','');
QuarantineFile('C:\WINDOWS\system32\karna.dat','');
DeleteService('Winhm50');
DeleteService('ati3ptxx');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winwc61.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\mgnt.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\ati3ptxx.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\vnrqildu32.dll','');
TerminateProcessByName('c:\windows\system32\brastk.exe');
QuarantineFile('c:\windows\system32\brastk.exe','');
DeleteFile('c:\windows\system32\brastk.exe');
DeleteFile('C:\WINDOWS\system32\vnrqildu32.dll');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\ati3ptxx.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
DeleteFile('C:\WINDOWS\system32\drivers\mgnt.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Winwc61.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhm50.sys');
DeleteFile('C:\WINDOWS\system32\karna.dat');
DeleteFile('C:\WINDOWS\system32\msansspc.dll');
DeleteFile('WinCtrl32.dll');
DeleteFile('atietaxx.dll');
DeleteFile('vnrqildu32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
Junior Member
Вес репутации
59
Спасибо за оперативность, завтра сделаю, как попаду за этот комп.
Junior Member
Вес репутации
59
Карантин отправил, повторяю логи. Сообщение в трее не пропало.
Вложения
Пофиксить
Код:
O4 - HKLM\..\Run: [lphcnrpj0ea15] C:\WINDOWS\system32\lphcnrpj0ea15.exe
O4 - HKLM\..\Run: [brastk] brastk.exe
O20 - AppInit_DLLs: karna.dat
O20 - Winlogon Notify: atietaxx - C:\WINDOWS\
O20 - Winlogon Notify: vnrqildu - C:\WINDOWS\SYSTEM32\vnrqildu.dll
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\brastk.exe');
DeleteService('ICF');
DeleteFile('c:\windows\brastk.exe');
DeleteFile('C:\WINDOWS\system32\vnrqildu.dll');
DeleteFile('C:\WINDOWS\system32\icf.exe.exe:ext.exe');
DeleteFile('C:\WINDOWS\karna.dat');
DeleteFile('C:\WINDOWS\system32\blphcnrpj0ea15.scr');
DeleteFile('C:\WINDOWS\system32\lphcnrpj0ea15.exe');
DeleteFile('msansspc.dll');
DeleteFile('vnrqildu.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('ICF');
BC_Activate;
RebootWindows(true);
end.
Повторите логи...
Junior Member
Вес репутации
59
Логи повторил, сообщение в трее пропало, осталось только сообщени при загрузке, что компьютер заражен spywere. В остальном вроде порядок.
Вложения
Восстановление отключить!
Выполните скрипт:
Код:
begin
ExecuteRepair(5 );
ExecuteRepair(6 );
RegKeyStrParamWrite('HKCU','Control Panel\International','sTimeFormat','H:mm:ss');
RegKeyStrParamWrite('HKEY_USERS','.DEFAULT\Control Panel\Desktop','Wallpaper','');
RebootWindows(true);
end.
Сообщите результат...
Junior Member
Вес репутации
59
Восстановление было оключено, остальное сделаю как попаду за тот комп и сообщу о результатах.