И ещё раз Get Accelerator
В общем, он меня пустил в систему каким-то образом, я воспользовался моментом, быстро прошёлся CureIT, он нашёл гадов. Но хочется удостовериться, что всё нормально.
Загружаю логи
Буду очень благодарен за проверку и указания, что делать дальше.
Вложение 191433
Вложение 191434
Вложение 191435
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Пофиксите в HiJack
Логи AVZ переделать без работающего CureItКод:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
+ thyrex
1) Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); QuarantineFile('C:\Documents and Settings\Любовь\Application Data\ntos.exe',''); QuarantineFile('C:\WINDOWS\System32\aekgoprn.dll',''); QuarantineFile('C:\music\Opera4',''); QuarantineFile('C:\hfs.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\a3nkt2th.SYS',''); DeleteService('navigator'); QuarantineFile('C:\WINDOWS\fd.dll',''); DeleteFile('C:\WINDOWS\fd.dll'); DeleteFile('C:\WINDOWS\System32\Drivers\a3nkt2th.SYS'); DeleteFile('C:\Documents and Settings\Любовь\Application Data\ntos.exe'); DeleteFile('C:\WINDOWS\System32\aekgoprn.dll'); RegKeyParamDel('HKEY_USERS','S-1-5-21-3701978502-2384342995-2359858991-1007\Software\Microsoft\Windows\CurrentVersion\Run','userinit'); BC_ImportALL; ExecuteSysClean; ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
2) Затем выполните второй скрипт в AVZ:
Файл quarantine.zip из папки с AVZ закачайте по ссылке "прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
3) Обновите базы AVZ.
4) Сделайте новые логи AVZ + такой лог: http://virusinfo.info/showthread.php?t=53070
GHETTO/STREET WORKOUT
В hijack выполнил означенную операцию, выполнил скрипты, залил карантин на сайт, обновил базы, сделал новые логи + запрашиваемый.
Вот результаты:
Вложение 191472
Вложение 191473
Вложение 191474
Вложение 191475
Удалите в mbam
Сделаете новый лог mbamКод:Заражено значений реестра: HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02ffac45-0b10-5633-4296-1801f1a36678} (Trojan.Agent) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02ffac45-0b10-5633-4296-1801f1a36678} (Trojan.Agent) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\windows sarby (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken. Заражено папок: C:\Documents and Settings\Любовь\Application Data\wsnpoem (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\wsnpoem (Trojan.Agent) -> No action taken. Заражено файлов: C:\Program Files\Green-D\GreenChess\_GreenChess.exe (Malware.Packer) -> No action taken. C:\Documents and Settings\Любовь\Application Data\wsnpoem\audio.dll (Trojan.Agent) -> No action taken. C:\Documents and Settings\Любовь\Application Data\wsnpoem\video.dll (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\wsnpoem\audio.dll (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\wsnpoem\audio.dll.cla (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\wsnpoem\video.dll (Trojan.Agent) -> No action taken. C:\Documents and Settings\Arrs\Application Data\wiaserva.log (Malware.Trace) -> No action taken.
Удалил, новый лог
Вложение 191620
Остались только те три файла, которые Вы не говорили удалять в прошлый раз.
Да, и у меня полетел звук. Это последствия mbam, после удаления которого всё встанет на свои места, или драйвер надо будет устанавливать заново?
Чисто.Переустановите драйвера на звук.
Переустановил. Звука нет.
В диспетчере стоит восклицательный знак рядом с "Перечислителем программных устройств plug and play". Звуки выдают "Аудиоустройства отсутствуют".
Последний раз редактировалось Arrs; 13.12.2009 в 17:18.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\hfs.exe - not-a-virus:Server-FTP.Win32.SFH.bc
Уважаемый(ая) Arrs, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
