Карантин загрузил, сейчас пришлю остальное.
Карантин загрузил, сейчас пришлю остальное.
новые логи
Выполните скрипт
Компьютер перезагрузитсяКод:begin SetAVZPMStatus(True); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\NETSHELL.dll',''); QuarantineFile('C:\WINDOWS\system32\credui.dll',''); QuarantineFile('C:\WINDOWS\system32\OneX.DLL',''); BC_ImportAll; Executerepair(11); Executerepair(17); BC_Activate; RebootWindows(true); end.
Закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 2 Диагностики и новый лог прикрепите к новому сообщению
Сделайте лог МБАМ и лог Gmer
карантин прислал, вот логи
забыл совсем - лог МВАМ
Виндовс подтормаживает, правда диспетчер задач и редактор реестра разблокированы, возможность входа в систему в безопасном режиме не проверял пока, а антивирус Comodo выдавал окно о присутствии вирусов TrojWare.Win32.downloader Agent~AJK@1582157 и Unclasified Malware@8320825 и @76013997. попробую обновить сигнатурные базы и перезагрузить, позже отпишусь об изменениях.
вот список той мерзости, что нашёл сканер. Помимо всего прочего, вирус уничтожил языковую панель, возникают проблемы при отключении съёмных дисков (устройство не может быть остановлено), при запуске программы МВАМ несколько раз подряд выскакивает Runtime error. Посоветуйте, пожалуйста, что можно ещё предпринять.
Проблемы появляются когда Вы выходите в интернет?
Сделайте так: обновите базы антивируса, отключите ПК от интернета/локалки. Просканируйте антивирусом (полная проверка), затем МБАМ (полная проверка), Куреитом (др.Веб)
Сделайте комплект логов.
Подумайте, что Вам нужно для работы, остальное надо отключить:
Поиск потенциальных уязвимостей >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помошнику Проверка завершена
9. Мастер поиска и устранения проблем
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
При отключенном интернете проделал следующее. удалил/остановил ненужные службы, с помощью АВЗ исправил найденные проблемы (реестр, дисп.задач, автозапуск), хотя теперь реестр и диспетчер всё равно остались заблокированными. Провёл сканирование антивирусом Comodo, антивирус ничего не обнаружил. Затем запустил МВАМ, и тут возникло сообщение: "Windows - Устройство не готово. Exception Processing Message с 00000a 3 Parameters 75b3bf7c 4 75b3bf7c 75b3bf7c"(и что бы это значило?). Полученный лог показывает что вирус внедрился в мой антивирус, я прав? Также провёл полное сканирование с помощью CureIT - было найдено очень много заразы, лог к сожалению приложить не могу. И вот ещё логи с АВЗ - всё проводилось при отключенном Интернете.
Закройте/выгрузите все программы кроме AVZ .
Отключите:
- ПК от интернета/локалки;
- антивирус и файрвол.;
- восстановление системы;
- выполните скрипт
Компьютер перезагрузитсяКод:begin DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\docume~1\9335~1\locals~1\temp\csylxt.exe',''); TerminateProcessByName('c:\docume~1\9335~1\locals~1\temp\csylxt.exe'); QuarantineFile('\Device\HarddiskVolume1\DOCUME~1\9335~1\LOCALS~1\Temp\RarSFX0\r3c2bxp.exe',''); TerminateProcessByName('\Device\HarddiskVolume1\DOCUME~1\9335~1\LOCALS~1\Temp\RarSFX0\r3c2bxp.exe'); QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\mYJs3xd7.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\nokjqn.sys',''); DeleteService('abp470n5'); DeleteFile('C:\WINDOWS\system32\drivers\nokjqn.sys'); DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\mYJs3xd7.sys'); DeleteFile('\Device\HarddiskVolume1\DOCUME~1\9335~1\LOCALS~1\Temp\RarSFX0\r3c2bxp.exe'); DeleteFile('c:\docume~1\9335~1\locals~1\temp\csylxt.exe'); BC_ImportAll; ExecuteSysClean; Executerepair(6); Executerepair(11); Executerepair(17); ExecuteWizard('PRT', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
После выполнить:
- включите антивирус и файрволл
- подключите ПК к интернету/локалке
- закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению
Сделайте лог Gmer
карантин прислал, вот логи
В логах подозрительного не увидел, что с проблемой?
Диспетчер задач и редактор реестра пока что работают, но антивирус продолжает находить вирусы, Win32.Sality в папке Hijack и Adware fakeAntivirusL в папке Opera. наверно, у меня тяжёлый случай(.
Сделайте полную проверку Куреитом(др.Веб) и AVPTool. Так просто эту заразу не убить. Надо несколько раз просканировать.
проверку Вэбом и касперским сделал, вэб ничего не нашёл, касперский обнаружил вирусы 15 шт на разных дисках, затем просканировал с помощью Gdata, были найдены вирусы и все на сьёмном винчестере. Диспетчер задач и реестр пока доступны. Монитор Gdata периодически отражает вирусные атаки.
ок, сделаю и завтра отпишусь.
Добавлено через 11 минут
проблема - не могу зайти в безопасный режим, при этом реестр и диспетчер работают.
Последний раз редактировалось andrey80; 01.12.2009 в 01:20. Причина: Добавлено
выполнил все рекомендации - вирус не обнаружен ни в обычном, ни в безопасном режиме. Однако монитор антивируса постоянно предупреждает, что "Win32.Sality пытался получить доступ к .... файлу". Сейчас скачал прогу Sality_off - запустил, о результатах сообщу позже. А пока, слава Богу, всё работает и не тормозит.
Уважаемый(ая) andrey80, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.