-
Junior Member
- Вес репутации
- 56
usbinit.exe - не могу побороть
Изначальная диспозиция - на машинке было море вирусов.
Отчищено Symantec Endpoint Protection 11.3 и CureIt
После перезагрузки Symantec начал находить пачками вот этот usbinit.exe (keyboard troyan и ещё парочка - не в счёт) вплоть до собственного зависания.
Symantec пришлось удалить с компьютера - в противном случае я просто не мог сделать нужные логи из-за этой атаки...
Помогите, плиз...
Последний раз редактировалось BlackVic; 02.08.2010 в 21:46.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 56
А вот с этим проблемы - машина постоянно зависает, не доделав лога.
5 попыток, думаю, достаточно... :-(
Что делать, уважаемые эксперты, подскажите, плиз...
-
Защитное ПО было выгружено когда работал gmer ?
-
-
Junior Member
- Вес репутации
- 56
А его уже нет в живых - об этом я писал в первом посте.
Пришлось деинсталлировать, иначе бы я просто не сделал даже первые логи...
Гмер во время быстрой проверки ругался, что нашел скрытый процесс...
-
Скрины проверки gmer'a приложите(где нашел скрытый процесс).
-
-
Junior Member
- Вес репутации
- 56
Последний раз редактировалось BlackVic; 02.08.2010 в 21:46.
-
Выполните скрипт в avz
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('kungsfdbxtewbp');
QuarantineFile('C:\windows\System32\Drivers\kungsfcbqalkil.sys','');
DeleteFile('C:\windows\System32\Drivers\kungsfcbqalkil.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте лог gmer.
-
-
Junior Member
- Вес репутации
- 56
Карантин пуст...
Гмер отработал - лог засылаю.
Последний раз редактировалось BlackVic; 02.08.2010 в 21:46.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\drivers\kungsfcbqalkjl.sys','');
DeleteFile('c:\windows\system32\drivers\kungsfcbqalkjl.sys');
QuarantineFile('c:\windows\system32\kungsfxsiyqpta.dll','');
DeleteFile('c:\windows\system32\kungsfxsiyqpta.dll');
QuarantineFile('c:\windows\system32\kungsfvqlxavss.dll','');
DeleteFile('c:\windows\system32\kungsfvqlxavss.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сохраните текст ниже как cleanup.bat в ту же папку, где находится c275wwb1.exe (gmer)
Код:
c275wwb1.exe -del service kungsfdbxtewbp
c275wwb1.exe -del file "c:\windows\system32\drivers\kungsfcbqalkjl.sys"
c275wwb1.exe -del file "c:\windows\system32\kungsfxsiyqpta.dll"
c275wwb1.exe -del file "c:\windows\system32\kungsfswevcvbd.dat"
c275wwb1.exe -del file "c:\windows\system32\kungsfvqlxavss.dll"
c275wwb1.exe -del file "c:\windows\system32\kungsfwrtuerft.dat"
c275wwb1.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kungsfdbxtewbp"
c275wwb1.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\kungsfdbxtewbp"
c275wwb1.exe -reboot
И запустите cleanup.bat
Компьютер перезагрузится
Сделайте новый лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 56
Скрипт выполнил, карантин прислал, батник запустил.
Лог делается, но ОЧЕНЬ долго - почему-то львиную долю процессорного времени ест системный процесс lsass.exe...
-
Junior Member
- Вес репутации
- 56
новый лог гмера прилагается
Последний раз редактировалось BlackVic; 02.08.2010 в 21:46.
-
Junior Member
- Вес репутации
- 56
попытался подставить Симантек обратно - та же история...
что делать дальше?
-
Попробуйте зачистить все следы антивируса утилитой с сайта разработчика и пробовать установить заново
В логе чисто
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения вредоносные программы в карантинах не обнаружены
-