-
Junior Member
- Вес репутации
- 58
Сильно заражен компьютер
1. Касперский не устанавливается.
2. CureIt не скачивается. Как только захожу в папку на ftp где он находится iexplorer закрывается.
3. avz не запускался пока не переименовал.После 3 запуско тоже перестал запускаться.
4. В безопасном режиме не грузится.
Последний раз редактировалось alivan; 12.10.2009 в 22:01.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
QuarantineFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\erllg.sys','');
DeleteService('aic32p');
DeleteFile('C:\WINDOWS\system32\drivers\erllg.sys');
DeleteFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Пролечитесь от файловых вирусов http://virusinfo.info/showthread.php?t=15927 (вариант с LiveCD)
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 58
Карантин загрузил. Новые логи.
Последний раз редактировалось alivan; 12.10.2009 в 22:01.
-
Отключите восстановление системы
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
QuarantineFile('I:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
DeleteFile('C:\WINDOWS\system32\drivers\erllg.sys');
DeleteFile('I:\autorun.inf');
DeleteFile('I:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 58
Карантин отправил. Новые логи.
Работает все хуже.
Последний раз редактировалось alivan; 12.10.2009 в 22:01.
-
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
-Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('I:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
DeleteFile('I:\autorun.inf');
DeleteFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
DeleteFile('C:\WINDOWS\system32\drivers\erllg.sys');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612} ');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
После перезагрузки:
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению
-
-
Junior Member
- Вес репутации
- 58
Прошу прощения. К компьютеру буду иметь доступ завтра...
Просканировал еще раз диски.
Новые логи.
Последний раз редактировалось alivan; 31.10.2009 в 12:16.
-
-
-
Junior Member
- Вес репутации
- 58
Просьба, пока не закрывать тему. Компьютер далеко от меня находится (я живу в глубинке, а это вообще дыра). Лог смогу сделать только во вторник (кроме меня некому сделать).
-
Мы закрываем темы только тогда, когда человек не придерживается правил или по прошествии полугода
-
-
Junior Member
- Вес репутации
- 58
Лог Gmer.
При запуске появилось сообщение :
WARNING !!!
GMER has found system modification caused by ROOTKIT activity.
и предложил просканировать. После сканирования опять появилось это сообщение.
И похоже вирусы опять расплодились...
Последний раз редактировалось alivan; 31.10.2009 в 12:16.
-
Выполните команды в gmer:
Код:
gmer.exe -del service tmrgj
gmer.exe -del file "C:\WINDOWS\system32\dqarmie.dll"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\tmrg"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\tmrgj"
gmer.exe -reboot
После перезагрузки повторите лог гмер
-
-
Junior Member
- Вес репутации
- 58
Последний раз редактировалось alivan; 31.10.2009 в 12:16.
-
-
-
Junior Member
- Вес репутации
- 58
Вторая волна
Вчера все нормально, сегодня часть программ не запускается или сворачивается после запуска.
Вставил флешку, мой касперский обнаружил kido и какой-то satelic.
Последний раз редактировалось alivan; 14.11.2009 в 15:53.
-
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Пока не устраните - будете лечиться.
- Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите IE 8.
Потом сделаете новые логи.
-
-
Junior Member
- Вес репутации
- 58
Так и сделаю, только через неделю...
Сейчас нет при себе ни SP ни IE.
-
Сообщение от
alivan
Так и сделаю, только через неделю...
Как для Вашей же, так и для общественой пользы, советую провести это время на рыбалке или в турпоходе: интернетом пользоваться очень не рекомендуется
-
-
Junior Member
- Вес репутации
- 58
К сожалению не дождались. Заезжий студент переустановил систему. Прошу прощения.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- i:\autorun.inf - Worm.Win32.AutoRun.pex ( DrWEB: Win32.HLLW.Autoruner.2664, BitDefender: Trojan.Agent.AJSQ, NOD32: Win32/AutoRun.Agent.S worm, AVAST4: BV:AutoRun-H [Wrm] )
- i:\restore\s-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe - Trojan-Downloader.Win32.Small.adjy ( DrWEB: Trojan.Inject.3774, BitDefender: Trojan.Dropper.SKL, NOD32: IRC/SdBot trojan, AVAST4: Win32:Small-MGE [Trj] )
-