-
Junior Member
- Вес репутации
- 61
Засела зараза
Здравствуйте, уважаемые хелперы. Прошу у Вас помощи. Ситуация следующая: при подключении злополучной USB-флешки прорвался на комп какой то зверь, хоть и стоит прога USB Disk Security + проверка доктором Вебом (с последними базами). После перезагрузки компа сотворилось чудо - пропала половина служб, значки возле часов, а именно звук (хоть сам он есть в системе), скайп (который вовсе не запускается), подключение к нету (хоть нет и есть), пропал ко всему еще общий доступ к файлам и папкам на компе (используется локальная сеть). Комп стал необычно долго загружаться. Пропали значки сетевых подключений в папке Сетевое окружение на рабочем столе. Прошу помочь в данной критической ситуации.Логи высылаю.Спасибо.П.С. Прогу StatWin пожалуйста не трогайте - она нужна.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
StopService('afnjmvd');
QuarantineFile('C:\WINDOWS\system32\Drivers\tcpip.sys','');
QuarantineFile('C:\WINDOWS\system32\admdll.dll','');
QuarantineFile('H:\Lineage II - Gracia\system\npkcrypt.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\wudfrd.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\usbser_lowerfltj.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\nmwcdnsuc.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\nmwcdnsu.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ccdcmbo.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ccdcmb.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\pccsmcfd.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tiacxln.sys','');
QuarantineFile('C:\WINDOWS\system32\021B.tmp','');
DeleteFile('C:\WINDOWS\system32\021B.tmp');
DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('afnjmvd');
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.
Система перезагрузится.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи согласно Правил (Диагностика)
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антивирус и Файрвол
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно Правил (Приложение 3).
- Прикрепите новые логи, а также файл avz_log.txt из папки AVZ (если таковой имеется) к новому сообщению в этой ветке.
-
-
Junior Member
- Вес репутации
- 61
Всё сделал, высылаю повторно логи...Посмотрите, что тут и как...Карантин тоже выслал...
-
Выполните скрипт:
Код:
Procedure FixUpdate;
var j:integer; NumStr:string;
begin
for j:=0 to 999 do
begin
if j=0 then
NumStr:='CurrentControlSet' else
if j<10 then
NumStr:='ControlSet00'+IntToStr(j) else
if j<100 then
NumStr:='ControlSet0'+IntToStr(j) else
NumStr:='ControlSet'+IntToStr(j);
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
end;
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
end;
end;
end;
begin
FixUpdate;
SetAVZPMStatus(false);
RebootWindows(true);
end.
Система перезагрузится.
Сделайте повторный лог только согласно пункта 2 Правил (Диагностика)
virusinfo_syscheck.zip
-
-
Junior Member
- Вес репутации
- 61
Скрипт выполнил, лог сделал, выслал...Проблемы по прежнему есть...Посмотрите что тут и как...
-
Очень странно: у Вас не восстанавливаются параметры службы обновления Windows. Выполните полное сканирование системы с помощью свежей версии CureIt или AVPTool. Что найдёт - лечить, при невозможности лечения - удалять. Обо всём найденном и вылеченном сообщите в этой ветке!
-
-
Junior Member
- Вес репутации
- 61
Выполнил сканирование CureIt - ом: обнаружил и переместил файл avz_1632_raw.tmp в папке Local Settings\Admin\Temp зараженный вирусом Trojan.MulDrop.61643
-
Удалены многие системные службы.
Ищите диск Windows XP SP3.
Как выполнить обновление (переустановку) Microsoft Windows XP:
http://support.microsoft.com/kb/315341/ru
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 35
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\admdll.dll - not-a-virus:RemoteAdmin.Win32.RAdmin.20 ( DrWEB: Program.RemoteAdmin.31 )
-