Подозрительное поведение компьютера

**Горшков Александр** · 17.01.2010, 13:33

Здравствуйте.
Перестали запускаться некоторые программы, NOD при запуске системы не может запуститься, заблокирована часть системных функций. AVZ и HijackThis удалось запустить только после переименования.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Шапельский Александр** · 17.01.2010, 13:58

Здравствуйте. Пофиксить в Hijack следующие строки:

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe

Выполнить скрипт

Код:

begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\cont3flt.sys','');
 DeleteService('cont3flt');
 QuarantineFile('C:\WINDOWS\System32\Drivers\tticzlat.sys','');
 DeleteService('tticzlat');
 QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\_uninst_.bat','');
 QuarantineFile('C:\WINDOWS\system32\EAPExt161.dll','');
 QuarantineFile('C:\WINDOWS\system32\EAPSigner161.exe','');
 QuarantineFile('C:\WINDOWS\system32\wmipxty.exe','');
 QuarantineFile('c:\windows\system32\wmisfhl.exe','');
 TerminateProcessByName('c:\windows\system32\wmisfhl.exe');
 DeleteFile('c:\windows\system32\wmisfhl.exe');
 DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\_uninst_.bat');
 DeleteFile('C:\WINDOWS\System32\Drivers\tticzlat.sys');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\cont3flt.sys');
BC_ImportAll;
ExecuteSysClean;
Executerepair(6);
Executerepair(13);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

затем следующий

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

файл quarantine.zip закачайте по ссылке Прислать запрошенный карантин
в шапке Вашей темы.
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

Сделайте лог Gmer

**Горшков Александр** · 17.01.2010, 20:54

После применения скриптов ничего не изменилось. Высылаю повторные логи. Gmer долго сканировал, но в конце сканирования выдал какое-то предупреждение о руткитах и после этого уже ничего не удалось сохранить, появлялось сообщение о недостаточности ресурсов. При повторном сканировании удалось сохранить лог за минуту до окончания сканирования, его и прикладываю.

**Шапельский Александр** · 18.01.2010, 00:35

Закройте/выгрузите все программы кроме AVZ .
Отключите:
- ПК от интернета/локалки;
- антивирус и файрвол.;
- восстановление системы;
- выполните скрипт

Код:

begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\system32\wmisfhl.exe');
 QuarantineFile('C:\WINDOWS\system32\wmipxty.exe','');
 QuarantineFile('c:\windows\system32\wmisfhl.exe','');
 DeleteFile('c:\windows\system32\wmisfhl.exe');
 DeleteFile('C:\WINDOWS\system32\wmipxty.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MS Virtual CLS');
BC_ImportAll;
ExecuteSysClean;
Executerepair(6);
Executerepair(13);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

Сохраните текст ниже как cleanup.bat в ту же папку, где находится ihksk994.exe (gmer)

Код:

ihksk994.exe -del service  jxfgiojps  
ihksk994.exe -del file "C:\WINDOWS\system32\vcvcm.dll"
ihksk994.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\jxfgiojps"
ihksk994.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\jxfgiojps"
ihksk994.exe -reboot

И запустите cleanup.bat. Компьютер перезагрузится.
После выполнить:
- включите антивирус и файрволл
- подключите ПК к интернету/локалке
- закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
Сделать новый лог gmer

**Горшков Александр** · 19.01.2010, 05:25

Здравствуйте.
После применения скриптов поведение системы не изменилось. Направляю новые логи AVZ, HijackThis и Gmer. Gmer в конце сканирования выдаёт предупреждение: "WARNING! Gmer has found system modification caused by ROOTKIT activity".

**Bratez** · 19.01.2010, 15:25

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\system32\wmisfhl.exe');
 DeleteFile('C:\WINDOWS\system32\wmisfhl.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(9);
ExecuteRepair(13);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Сделайте новый лог syscheck (только п.2 раздела Диагностика).

**Горшков Александр** · 20.01.2010, 15:54

Новый лог syscheck

**Bratez** · 20.01.2010, 16:05

Чисто!
Ставьте SP3 и последующие обновления, иначе это не надолго.

**CyberHelper** · 21.01.2010, 16:05

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 22
В ходе лечения обнаружены вредоносные программы:
1. c:\windows\system32\wmisfhl.exe - Trojan.Win32.VB.aaep ( AVAST4: Win32:VB-OFW [Drp] )

Подозрительное поведение компьютера (заявка № 67566)

Опции темы