-
Junior Member
- Вес репутации
- 53
Блокировка KAV7, выключение Windows Firewall
Здравствуйте!
Вчера гуляя по просторам интернет подхватил какую-то заразу. Обрушился Firefox, появился "баллон" о выключении KAV (хотя он у меня и так не был загружен), следом выскакивает "баллон" о выключении Windows Firewall тут я понимаю, что уже попался и вырубаю сеть (отключения KAV7, Windows Firewall продолжаются при почти при каждой загрузке, включаю назад Windows Firewall , KAV7 не загружаю, почему - ниже).
Запускаю KAV7 он долго мучается и выдает какое-то сообщение о аборте или невозможности запуска. Но при этом висит в процессах , убить нельзя, процессорного времени жрет порядка 20% , но система залипает жестоко, как-будто все 100% куда-то ходя, на перезагрузку уходит очень туго. Переустановка KAV7 положения не меняет.
Перед тем, как выполнить первую перезагрузку после заражения, заглянул в msconfig->startup обнаружил не известный мне процесс c:\programm files\plugin.exe - убил строчку загрузки и сам файл.
Примерно так.
Заранее спасибо!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Выполните скрипт AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
StopService('msupdate');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('c:\windows\system32\mssrv32.exe','');
DeleteFile('c:\windows\system32\mssrv32.exe');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
DelCLSID('5C255C8A-E604-49b4-9D64-90988571CECB');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); {восстановление userinit}
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('msupdate');
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.
Система перезагрузится.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи согласно Правил (Диагностика)
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антивирус и Файрвол
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно Правил (Приложение 3).
- Прикрепите новые логи к новому сообщению в этой ветке.
-
-
Junior Member
- Вес репутации
- 53
-
- Выполните скрипт AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
QuarantineFile('C:\WINDOWS\system32\BrMuSNMP.dll','');
BC_ImportAll;
ExecuteSysClean;
SetAVZPMStatus(false);
BC_Activate;
RebootWindows(true);
end.
Система перезагрузится.
- Загрузите карантин согласно Правил (Приложение 3).
Какие-нибудь жалобы есть?
-
-
Junior Member
- Вес репутации
- 53
Скрипт выполнил, карантин загрузил
Вроде всё работает сейчас нормально (..KAV7 запустился), подозрительной активности пока не замечаю, ни с жестким диском, ни с сетевым трафиком. Наверное вылечилось ?
Спасибо вам за ваш труд!
-
Для пущей уверенности найдите вот этот файл:
Код:
C:\WINDOWS\system32\BrMuSNMP.dll
заархивируйте в zip-архив с паролем virus и отправьте в Карантин.
-
-
Junior Member
- Вес репутации
- 53
-
Скорее всего, что всё чисто, но подождём ответ вирусных аналитиков.
Добавлено через 1 час 9 минут
Ответ получен. Чисто.
Последний раз редактировалось gjf; 12.01.2010 в 16:29.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 53
отлично! спасибо вам еще раз!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 4
- В ходе лечения вредоносные программы в карантинах не обнаружены
-