-
Junior Member
- Вес репутации
- 56
DrWeb заблокирован, куча заразы.
При загрузке на фоне экрана "приветствие" появляется сообщение
spidernt.log поврежден и не может быть прочитан.
после загрузки появляется окно
servicecs.exe ошибка приложения
инструкция по адресу ----- обратилась к памяти по адресу -----. память не может быть written.
при попытке закрыть окно вылетает в синий экран и перезагружается.
Drweb отключен ( иконка с красным крестом).
Время от времени появляется сообщение, что корзина переполнена.
При этом корзина пуста.
На флэшке создаются файлы autorun.inf и system.exe
В Безопасном режиме не загружается, вылетает в синий экран и уходит в перезагрузку.
Машина чужая, лечить с налета опасаюсь
Подскажите
Заранее благодарен, Данил.
Последний раз редактировалось danko; 02.11.2009 в 21:12.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Скачайте IceSword. Запустите, слева внизу нажмите File, затем найдите:
C:\WINDOWS\System32\Drivers\ati0puxx.sys
и сделайте им Force Delete.
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\rs32net.exe');
QuarantineFile('c:\windows\system32\rs32net.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati0puxx.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\E345CDK9\s1b[1].exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\.exe','');
QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
QuarantineFile('C:\Documents and Settings\Nina\Local Settings\Temp\rdl9.tmp','');
QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
QuarantineFile('G:\autorun.inf','');
QuarantineFile('G:\system.exe','');
DeleteFile('c:\windows\system32\rs32net.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\ati0puxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati2hmxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati4rwxx.sys');
DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\E345CDK9\s1b[1].exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\.exe');
DeleteFile('C:\Documents and Settings\Nina\Local Settings\Temp\rdl9.tmp');
DeleteFile('C:\WINDOWS\system32\cssrss.exe');
DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
DeleteFile('G:\autorun.inf');
DeleteFile('G:\system.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(1);
ExecuteRepair(9);
BC_DeleteSvc('ati0puxx');
BC_DeleteSvc('ati2hmxx');
BC_DeleteSvc('ati4rwxx');
BC_DeleteSvc('securentm');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=37682
3. Повторите логи.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 56
Начал лечить
После выполнения скрипта при перезагрузке повис с пустым рабочим столом.
После выключения и включения снова появилось сообщение
spidernt.log поврежден......
после перезагрузки пустой рабочий стол.
висит окно
spidernt.log поврежден......
Данил.
Последний раз редактировалось danko; 02.11.2009 в 21:12.
-
Отключите восстановление системы!
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\drivers\services.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [rs32net] C:\WINDOWS\System32\rs32net.exe
O4 - HKLM\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
O4 - HKLM\..\Run: [winlogon] C:\WINDOWS\system32\config\systemprofile\svchost.exe
O4 - HKCU\..\Run: [rs32net] C:\WINDOWS\System32\rs32net.exe
O4 - HKCU\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
O4 - HKCU\..\Run: [winlogon] C:\WINDOWS\system32\config\systemprofile\svchost.exe
O4 - Startup: userinit.exe
O4 - User Startup: userinit.exe
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
DeleteFile('C:\WINDOWS\system32\drivers\TDSSmhxt.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati0puxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati2hmxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati4rwxx.sys');
DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
DeleteFile('C:\WINDOWS\System32\rs32net.exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\svchost.exe');
DeleteFile('E:\Documents and Settings\Nina\Главное меню\Программы\Автозагрузка\userinit.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(9);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 56
продолжаем лечить
После выполнения скрипта AVZ перезагрузки не произошло.
После включения пустой экран.
Жду дальнейших указаний
Данил.
Последний раз редактировалось danko; 02.11.2009 в 21:12.
-
userinit.exe-Trojan-Downloader.Win32.Agent.aymu его нужно заменить на чистый из дистрибутива, больше ничего плохого...
-
-
Junior Member
- Вес репутации
- 56
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 10
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\nina\\local settings\\temp\\rdl9.tmp - Trojan-Mailfinder.Win32.Agent.wd (DrWEB: Trojan.NtRootKit.2387)
- c:\\program files\\microsoft common\\svchost.exe - Worm.Win32.AutoRun.wji
- c:\\windows\\system32\\config\\systemprofile\\.exe - Trojan-Downloader.Win32.Agent.bbuv (DrWEB: Trojan.Inject.5382)
- c:\\windows\\system32\\config\\systemprofile\\loca l settings\\temporary internet files\\content.ie5\\e345cdk9\\s1b[1].exe - Trojan-Downloader.Win32.Small.airs (DrWEB: BackDoor.Bulknet.320)
- c:\\windows\\system32\\cssrss.exe - Trojan-Downloader.Win32.Agent.atuv
- c:\\windows\\system32\\drivers\\securentm.sys - Rootkit.Win32.Agent.fsx (DrWEB: Trojan.DownLoad.24465)
- c:\\windows\\system32\\rs32net.exe - Trojan-Downloader.Win32.Small.airs (DrWEB: BackDoor.Bulknet.320)
- c:\\windows\\system32\\userinit.exe - Trojan-Downloader.Win32.Agent.aymu (DrWEB: Trojan.DownLoad.26770)
- g:\\autorun.inf - Worm.Win32.AutoRun.lzn (DrWEB: Win32.HLLW.Autoruner.2630)
- g:\\system.exe - Worm.Win32.AutoRun.wji
-