-
Junior Member
- Вес репутации
- 53
И ещё раз Get Accelerator
В общем, он меня пустил в систему каким-то образом, я воспользовался моментом, быстро прошёлся CureIT, он нашёл гадов. Но хочется удостовериться, что всё нормально.
Загружаю логи
Буду очень благодарен за проверку и указания, что делать дальше.
Вложение 191433
Вложение 191434
Вложение 191435
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите в HiJack
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
Логи AVZ переделать без работающего CureIt
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
+ thyrex
1) Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('C:\Documents and Settings\Любовь\Application Data\ntos.exe','');
QuarantineFile('C:\WINDOWS\System32\aekgoprn.dll','');
QuarantineFile('C:\music\Opera4','');
QuarantineFile('C:\hfs.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\a3nkt2th.SYS','');
DeleteService('navigator');
QuarantineFile('C:\WINDOWS\fd.dll','');
DeleteFile('C:\WINDOWS\fd.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\a3nkt2th.SYS');
DeleteFile('C:\Documents and Settings\Любовь\Application Data\ntos.exe');
DeleteFile('C:\WINDOWS\System32\aekgoprn.dll');
RegKeyParamDel('HKEY_USERS','S-1-5-21-3701978502-2384342995-2359858991-1007\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
2) Затем выполните второй скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки с AVZ закачайте по ссылке "прислать запрошенный карантин" вверху темы.
3) Обновите базы AVZ.
4) Сделайте новые логи AVZ + такой лог: http://virusinfo.info/showthread.php?t=53070
-
-
Junior Member
- Вес репутации
- 53
В hijack выполнил означенную операцию, выполнил скрипты, залил карантин на сайт, обновил базы, сделал новые логи + запрашиваемый.
Вот результаты:
Вложение 191472
Вложение 191473
Вложение 191474
Вложение 191475
-
Удалите в mbam
Код:
Заражено значений реестра:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02ffac45-0b10-5633-4296-1801f1a36678} (Trojan.Agent) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02ffac45-0b10-5633-4296-1801f1a36678} (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\windows sarby (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.
Заражено папок:
C:\Documents and Settings\Любовь\Application Data\wsnpoem (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\wsnpoem (Trojan.Agent) -> No action taken.
Заражено файлов:
C:\Program Files\Green-D\GreenChess\_GreenChess.exe (Malware.Packer) -> No action taken.
C:\Documents and Settings\Любовь\Application Data\wsnpoem\audio.dll (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Любовь\Application Data\wsnpoem\video.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\wsnpoem\audio.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\wsnpoem\audio.dll.cla (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\wsnpoem\video.dll (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Arrs\Application Data\wiaserva.log (Malware.Trace) -> No action taken.
Сделаете новый лог mbam
-
-
Junior Member
- Вес репутации
- 53
Удалил, новый лог
Вложение 191620
Остались только те три файла, которые Вы не говорили удалять в прошлый раз.
Да, и у меня полетел звук. Это последствия mbam, после удаления которого всё встанет на свои места, или драйвер надо будет устанавливать заново?
-
Чисто.Переустановите драйвера на звук.
-
-
Junior Member
- Вес репутации
- 53
Переустановил. Звука нет.
В диспетчере стоит восклицательный знак рядом с "Перечислителем программных устройств plug and play". Звуки выдают "Аудиоустройства отсутствуют".
Последний раз редактировалось Arrs; 13.12.2009 в 17:18.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\hfs.exe - not-a-virus:Server-FTP.Win32.SFH.bc
-