Показано с 1 по 10 из 10.

Win32/Virut.NBP в оперативной памяти (заявка № 44677)

  1. #1
    Junior Member Репутация
    Регистрация
    27.04.2009
    Адрес
    Украина
    Сообщений
    24
    Вес репутации
    32

    Question Win32/Virut.NBP в оперативной памяти

    У меня пишет, что Win32/Virut.NBP найден в оперативной памяти. Инфекция системной памяти происходит из файла C:\WINDOWS\Explorer.EXE

    Антивирус НОД32 вылечил или удалил зараженные файлы (в основном ЕХЕ, кроме вот этого Explorer.EXE)

    Правда, при запуске антивируса НОД32 выдало, что проверка CRC файла NOD32.EXE , что он поврежден, возможно инфицирован.

    Также, при запуске AVZ с подключенным интернетом не создался virusinfo_syschek.zip
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    -Пофиксите
    Код:
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.apeha.ru
    O4 - HKLM\..\Run: [Radio-TV adverts] C:\WINDOWS\TEMP\rtv_winupd.exe
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('protect');
     StopService('ethbrdfv');
     StopService('aslm75');
     QuarantineFile('C:\WINDOWS\TEMP\rtv_winupd.exe','');
     QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
     QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\nod32drv.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\ethbrdfv.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\aslm75.sys','');
     DeleteService('protect');
     DeleteService('ethbrdfv');
     DeleteService('aslm75');
     DeleteFile('C:\WINDOWS\TEMP\rtv_winupd.exe');
     DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\ethbrdfv.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\aslm75.sys');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('protect');
     BC_DeleteSvc('ethbrdfv');
     BC_DeleteSvc('aslm75');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:

    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    27.04.2009
    Адрес
    Украина
    Сообщений
    24
    Вес репутации
    32

    Сделал, как написали

    Спасибо! Сделал, как написали.
    Прилагаю логи. Послал карантин
    Вложения Вложения

  5. #4
    Junior Member Репутация
    Регистрация
    27.04.2009
    Адрес
    Украина
    Сообщений
    24
    Вес репутации
    32
    Ой, а что, надо было скопировать и вставить в сообщение данные о загруженом файле карантина?
    Ведь после загрузки карантина написало лишь, что файл загружен и не было указания скопировать данные о загруженом карантине и вставить в сообщение(
    Хотел исправить, но выдало, что такой карантин уже закачан. Как узнать его имя (адресс)?

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Выполните проверку на файловые вирусы: http://virusinfo.info/showthread.php?t=15927

    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     StopService('restore');
     QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\restore.sys','');
     QuarantineFile('Ati2evxx.dll','');
     DeleteFile('Ati2evxx.dll');
     DeleteFile('C:\WINDOWS\system32\drivers\restore.sys');
     DeleteService('restore');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('restore');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:

    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  7. #6
    Junior Member Репутация
    Регистрация
    27.04.2009
    Адрес
    Украина
    Сообщений
    24
    Вес репутации
    32
    Сделал. Прилагаю.

    Карантин
    Файл сохранён как 090430_005911_virus_49f8bf9fe4923.zip
    Размер файла 232024
    MD5 4d8dc81a2b06d4d18eec59c72241efa9
    Вложения Вложения

  8. #7
    Junior Member Репутация
    Регистрация
    27.04.2009
    Адрес
    Украина
    Сообщений
    24
    Вес репутации
    32
    Переустановил ОС. перед этим почистив антивирусом из безопасного режима. Якобы все функционирует, а там посмотрим...

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Цитата Сообщение от goutsoullac Посмотреть сообщение
    Переустановил ОС. перед этим почистив антивирусом из безопасного режима.
    Если Вы собирались переустанавливать систему, какой смысл в ее предварительной проверке? Я еще понимаю, что перед тем, как резать кабана на колбасу, его проверяют на болезни, а ОС????
    Ati2evxx.dll, NDIS.sys
    Вредоносный код в файлах не обнаружен.

  10. #9
    Junior Member Репутация
    Регистрация
    27.04.2009
    Адрес
    Украина
    Сообщений
    24
    Вес репутации
    32
    Да уж не вините, кгда проверял антивирусом все диски на харде, то не планировал еще за тем переустанавливать ОС (но очень боялся, что занесу флешкой какой-то руткит с рабочего компа). А потом уже вообще пошли "тормоза". особенно при работе в интернете... так что иного выхода уже не было.
    Спасибо Вам за предыдущую помощь, так как благодаря ей я именно сумел сохранить нужные мне материалы.

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 23
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) goutsoullac, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Win32/Dorkbot в оперативной памяти
      От bosy в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 21.11.2011, 16:02
    2. Win32/Spy.SpyEye.CA в оперативной памяти
      От scofi в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 08.11.2011, 22:48
    3. win32/spy.shiz.nbw в оперативной памяти
      От Черников в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 01.11.2011, 18:51
    4. Ответов: 2
      Последнее сообщение: 05.07.2010, 02:00

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01289 seconds with 17 queries