Часто выскакивают ошибки. Висят подозрительные процессы.
все сделал по инструкции.
CureIt нашел 4 файла и удалял их.
Процессы остались.
Часто выскакивают ошибки. Висят подозрительные процессы.
все сделал по инструкции.
CureIt нашел 4 файла и удалял их.
Процессы остались.
Последний раз редактировалось коржик; 03.08.2009 в 13:23.
virusinfo_cure.zip из вложений убрать! Нужен файл virusinfo_syscure.zip
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\regedit.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-8942275032-1420502524-989085791-0986\csvcs.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys',''); DeleteService('systemntmi'); QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys',''); DeleteService('nicsk32'); QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys',''); DeleteService('i386si'); QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys',''); DeleteService('ati64si'); QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys',''); DeleteService('acpi32'); SetServiceStart('netsik', 4); DeleteService('netsik'); QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys',''); TerminateProcessByName('c:\windows\system32\sysmgr.exe'); QuarantineFile('c:\windows\system32\sysmgr.exe',''); TerminateProcessByName('c:\windows\msudp32.exe'); QuarantineFile('c:\windows\msudp32.exe',''); TerminateProcessByName('c:\windows\system32\ms18_word.exe'); QuarantineFile('c:\windows\system32\ms18_word.exe',''); TerminateProcessByName('c:\documents and settings\user\ms18_word.exe'); QuarantineFile('c:\documents and settings\user\ms18_word.exe',''); DeleteFile('c:\documents and settings\user\ms18_word.exe'); DeleteFile('c:\windows\system32\ms18_word.exe'); DeleteFile('c:\windows\msudp32.exe'); DeleteFile('c:\windows\system32\sysmgr.exe'); DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys'); DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys'); DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys'); DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys'); DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys'); DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys'); DeleteFile('C:\RECYCLER\S-1-5-21-8942275032-1420502524-989085791-0986\csvcs.exe'); DeleteFile('C:\WINDOWS\system32\regedit.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
сделал
Последний раз редактировалось Rene-gad; 05.08.2009 в 19:51. Причина: quarantine removed
сделал
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); QuarantineFile('C:\WINDOWS\system32\regedit.exe',''); QuarantineFile('C:\Documents and Settings\NetworkService\ms18_word.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\ksi32sk.sys',''); DeleteService('ksi32sk'); QuarantineFile('C:\WINDOWS\system32\drivers\amd64si.sys',''); DeleteService('amd64si'); TerminateProcessByName('c:\windows\system32\wshost32.exe'); QuarantineFile('c:\windows\system32\wshost32.exe',''); TerminateProcessByName('c:\windows\system32\spooisv.exe'); QuarantineFile('c:\windows\system32\spooisv.exe',''); TerminateProcessByName('c:\windows\msconfigs.exe'); QuarantineFile('c:\windows\msconfigs.exe',''); TerminateProcessByName('c:\windows\system32\hp32_nword.exe'); QuarantineFile('c:\windows\system32\hp32_nword.exe',''); TerminateProcessByName('c:\documents and settings\user\hp32_nword.exe'); QuarantineFile('c:\documents and settings\user\hp32_nword.exe',''); DeleteFile('c:\documents and settings\user\hp32_nword.exe'); DeleteFile('c:\windows\system32\hp32_nword.exe'); DeleteFile('c:\windows\msconfigs.exe'); DeleteFile('c:\windows\system32\spooisv.exe'); DeleteFile('c:\windows\system32\wshost32.exe'); DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys'); DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys'); DeleteFile('C:\Documents and Settings\NetworkService\ms18_word.exe'); DeleteFile('C:\WINDOWS\system32\regedit.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Результат загрузки
Файл сохранён как 090807_092607_virus2_4a7bbaefe543a.zip
Размер файла 463357
MD5 0e09870ea71680319d271c28d4241693
Файл закачан, спасибо!
Последний раз редактировалось коржик; 07.08.2009 в 09:32.
Диск с дистрибутивом имеется?
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('msconfigs.exe',''); SetServiceStart('port135sik', 4); DeleteService('port135sik'); SetServiceStart('nicsk32', 4); DeleteService('nicsk32'); SetServiceStart('i386si', 4); DeleteService('i386si'); QuarantineFile('C:\WINDOWS\system32\Drivers\Ntfs.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys',''); DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys'); DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys'); DeleteFile('msconfigs.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Шлите последний карантин
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Компьютер сам не перегрузился, и никак не хотел перегружаться кроме как по кнопке RESET.
Результат загрузки
Файл сохранён как 090808_095911_virus4_4a7d142fa7768.zip
Размер файла 419639
MD5 a5a8c9b95938002447b805590a1fc05f
Файл закачан, спасибо!
Файл C:\WINDOWS\system32\Drivers\Ntfs.sys заражен, его нужно заменить на чистый из дистрибутива:
- Загрузитесь в консоли восстановления
- На приглашение введите строку:
Вместо Х подставьте букву драйва, где лежит дистрибутив.Код:copy X:\i386\ntfs.sys C:\WINDOWS\system32\drivers\ntfs.sys
Переписывание подтвердите.
- Выйдите из консоли восстановления комадой exit + клавиша ВВОД.
- Загрузитесь нормально.
Альтернативная замена готовым файлом с аналогичной ОС может быть произведена при загрузке в консоли восстановления (см. выше), с Live CD (BartPE, Knpoppix etc.) или с установкой диска в другой ПК.
Дальнейшее лечение будет эффективным только после выполнения вышенаписанного
Последний раз редактировалось Rene-gad; 08.08.2009 в 11:26.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
консоль восстановления не нашел на диске с дистрибутивом. Видимо какая то сборка.
Поставил рядом другую винду и уже из под нее удалил Ntfs.sys из старой винды и заменил файлом из новой, так пойдет?
Пойдет
Новые логи теперь делайте
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
сделал
Пофиксить в HiJack
Выполните скрипт в AVZКод:R3 - URLSearchHook: (no name) - - (no file) O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe O4 - HKLM\..\Run: [wshost32] C:\WINDOWS\system32\wshost32.exe O4 - HKCU\..\Run: [12CFG214-K641-12SF-N85P] C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\wshost32.exe',''); QuarantineFile('C:\WINDOWS\system32\regedit.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-3122361550-0467662055-568212216-6700\csvcs.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe',''); DeleteService('port135sik'); TerminateProcessByName('c:\docume~1\user\locals~1\temp\700.exe'); QuarantineFile('c:\docume~1\user\locals~1\temp\700.exe',''); DeleteFile('c:\docume~1\user\locals~1\temp\700.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-3122361550-0467662055-568212216-6700\csvcs.exe'); DeleteFile('C:\WINDOWS\system32\regedit.exe'); DeleteFile('C:\WINDOWS\system32\wshost32.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); DeleteFileMask('c:\docume~1\user\locals~1\temp', '*.*', true); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('port135sik'); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
В файле hosts удалите все, что не Ваше
Сделайте новые логи (все три файла)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
сделал
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
упс, извините про hosts совсем забыл - с ним ничего не делал
кроме этого, все чисто?
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SetAVZGuardStatus(True); ExecuteRepair(13); RebootWindows(true); end.
Сделайте новый лог по п.2 Диагностики.
Уважаемый(ая) коржик, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.