Помогите плиз, моя система кажется стала гибридной))))
в общем есть бравиакс. ехе но авз удалить не может....
отправляю логи...хайджек не запускается (
Помогите плиз, моя система кажется стала гибридной))))
в общем есть бравиакс. ехе но авз удалить не может....
отправляю логи...хайджек не запускается (
отключите восстановление системы
выполните скрипт
пришлите карантин согласно приложения 3 правилКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('J:\Recycled\deskinf.pif',''); QuarantineFile('J:\autorun.inf',''); QuarantineFile('C:\WINDOWS\system32\shell64.dll',''); QuarantineFile('C:\WINDOWS\system32\regedit.exe',''); QuarantineFile('C:\WINDOWS\system32\cru629.dat',''); DeleteService('beep'); QuarantineFile('C:\WINDOWS\system32\Drivers\Ntfs.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\beep.SYS',''); QuarantineFile('c:\windows\system32\msword98.exe',''); QuarantineFile('c:\documents and settings\sergey\msword98.exe',''); QuarantineFile('c:\windows\system32\braviax.exe',''); DeleteFile('c:\windows\system32\braviax.exe'); DeleteFile('c:\documents and settings\sergey\msword98.exe'); DeleteFile('c:\windows\system32\msword98.exe'); DeleteFile('C:\WINDOWS\system32\cru629.dat'); DeleteFile('C:\WINDOWS\system32\shell64.dll'); DeleteFile('J:\autorun.inf'); DeleteFile('J:\Recycled\deskinf.pif'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи
спасибо, как оперативно.
сейчас сделаю пришлю)
все так же висит эта дрянь
Файл C:\WINDOWS\system32\Drivers\ntfs.sys заражен, его нужно заменить на чистый из дистрибутива:
- Загрузитесь в консоли восстановления
- На приглашение введите строку:
Вместо Х подставьте букву драйва, где лежит дистрибутив.Код:copy X:\i386\ntfs.sys C:\WINDOWS\system32\drivers\ntfs.sys
Переписывание подтвердите.
- Выйдите из консоли восстановления комадой exit + клавиша ВВОД.
- Загрузитесь нормально.
Альтернативная замена готовым файлом с аналогичной ОС может быть произведена при загрузке в консоли восстановления (см. выше), с Live CD (BartPE, Knpoppix etc.) или с установкой диска в другой ПК.
Дальнейшее лечение будет эффективным только после выполнения вышенаписанного
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
поменял я файлик, потом не смог загрузиться...только на второй раз после ERD Commandera но ему я не дал запуститься.....
зашел в нормальный режим и вот логи....
отключите восстановление системы !
выполните скрипт
повторите логиКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('beep'); DeleteFile('c:\windows\system32\braviax.exe'); DeleteFile('C:\WINDOWS\system32\Drivers\beep.sys'); DeleteFile('C:\WINDOWS\system32\serlibk.exe'); DeleteFile('C:\WINDOWS\system32\windfire.exe'); DelWinlogonNotifyByFileName('cru629.dat'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
так отключал же!!!
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Program Files\Internet Explorer\Connection Wizard\icwsetup.exe',''); QuarantineFile('C:\Documents and Settings\Sergey\Мои документы\11782-krasotka-s-malenkojj-grudju-16-foto_files\xyyandex_002.js',''); QuarantineFile('C:\WINDOWS\system32\regedit.exe',''); QuarantineFile('C:\WINDOWS\system32\cru629.dat',''); QuarantineFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Shortcuts\icwsetup.exe',''); DeleteFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Shortcuts\icwsetup.exe'); DeleteFile('C:\WINDOWS\system32\cru629.dat'); DeleteFile('C:\WINDOWS\system32\regedit.exe'); DeleteFile('C:\Documents and Settings\Sergey\Мои документы\11782-krasotka-s-malenkojj-grudju-16-foto_files\xyyandex_002.js'); DeleteFile('C:\Program Files\Internet Explorer\Connection Wizard\icwsetup.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи (и лог HiJack тоже)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
спасибо, вот логи
и что означает вот это ?
так постоянно при скрипте лечения/карантинаФункция NtClose (19) перехвачена (805675D9->F74C5C5, перехватчик C:\WINDOWS\system32\Drivers\Vax347b.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateKey (29) перехвачена (8056F063->F74C5C10), перехватчик C:\WINDOWS\system32\Drivers\Vax347b.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreatePagingFile (2D) перехвачена (805BD9D8->F74B9C70), перехватчик C:\WINDOWS\system32\Drivers\Vax347b.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateKey (47) перехвачена (8056F76A->F74BA4FE), перехватчик C:\WINDOWS\system32\Drivers\Vax347b.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateValueKey (49) перехвачена (805801FE->F74C5D50), перехватчик C:\WINDOWS\system32\Drivers\Vax347b.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenKey (77) перехвачена (805684D5->F74C5BD4), перехватчик C:\WINDOWS\system32\Drivers\Vax347b.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryKey (A0) перехвачена (8056F473->F74BA51E), перехватчик C:\WINDOWS\system32\Drivers\Vax347b.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryValueKey (B1) перехвачена (8056B9A8->F74C5CA6), перехватчик C:\WINDOWS\system32\Drivers\Vax347b.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetSystemPowerState (F1) перехвачена (8066608F->F74C54F0), перехватчик C:\WINDOWS\system32\Drivers\Vax347b.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
-Пофиксите
Перегрузитесь.Код:O20 - AppInit_DLLs: cru629.dat
После перезагрузки:
- Повторите действия, описанные в п. 2 и 3 Диагностики и новые логи прикрепите к новому сообщению.
Чтобы в этом удостовериться нужно сначаладрайвер опознан как безопасный
>>> Код перехватчика нейтрализован
вот логи
В логах чисто.
- Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите IE 8
- Обновите JavaRE
- Обновите Acrobat Reader
спасибо
можно наверное закрывать))
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 25
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\all users\application data\microsoft\shortcuts\icwsetup.exe - Trojan.Win32.Agent.ctgx ( DrWEB: Trojan.DownLoad.43139, BitDefender: Trojan.Agent.ANKK )
- c:\program files\internet explorer\connection wizard\icwsetup.exe - Trojan.Win32.Agent.ctgx ( DrWEB: Trojan.DownLoad.43139, BitDefender: Trojan.Agent.ANKK )
- c:\system volume information\_restore{db4eb00d-0f06-4b44-b1ee-46c7e18855f2}\rp111\a0036776.exe - Trojan-Spy.Win32.Agent.qj ( DrWEB: BackDoor.Monsh, BitDefender: Win32.Worm.Agent.AI )
- c:\system volume information\_restore{db4eb00d-0f06-4b44-b1ee-46c7e18855f2}\rp111\a0036782.exe - Trojan-Spy.Win32.Agent.qj ( DrWEB: BackDoor.Monsh, BitDefender: Win32.Worm.Agent.AI )
- c:\system volume information\_restore{db4eb00d-0f06-4b44-b1ee-46c7e18855f2}\rp111\a0036915.exe - Trojan-Spy.Win32.Agent.qj ( DrWEB: BackDoor.Monsh, BitDefender: Win32.Worm.Agent.AI )
- c:\system volume information\_restore{db4eb00d-0f06-4b44-b1ee-46c7e18855f2}\rp84\a0031601.exe - Trojan-Spy.Win32.Agent.qj ( DrWEB: BackDoor.Monsh, BitDefender: Win32.Worm.Agent.AI )
- c:\system volume information\_restore{db4eb00d-0f06-4b44-b1ee-46c7e18855f2}\rp86\a0031641.exe - Trojan-Spy.Win32.Agent.qj ( DrWEB: BackDoor.Monsh, BitDefender: Win32.Worm.Agent.AI )
- c:\system volume information\_restore{db4eb00d-0f06-4b44-b1ee-46c7e18855f2}\rp97\a0035805.exe - Trojan-Spy.Win32.Agent.qj ( DrWEB: BackDoor.Monsh, BitDefender: Win32.Worm.Agent.AI )
- c:\system volume information\_restore{db4eb00d-0f06-4b44-b1ee-46c7e18855f2}\rp98\a0035814.exe - Trojan-Spy.Win32.Agent.qj ( DrWEB: BackDoor.Monsh, BitDefender: Win32.Worm.Agent.AI )
- c:\windows\system32\cru629.dat - Backdoor.Win32.Small.ejx ( DrWEB: Trojan.Proxy.1739, BitDefender: Trojan.Generic.343897 )
- c:\windows\system32\serlibk.exe - Trojan-Spy.Win32.Agent.qj ( DrWEB: BackDoor.Monsh, BitDefender: Win32.Worm.Agent.AI )
- c:\windows\system32\windfire.exe - Trojan-Spy.Win32.Agent.qj ( DrWEB: BackDoor.Monsh, BitDefender: Win32.Worm.Agent.AI )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) Humloves, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.