Показано с 1 по 9 из 9.

Засела зараза (заявка № 72754)

  1. #1
    Junior Member Репутация
    Регистрация
    19.10.2007
    Сообщений
    113
    Вес репутации
    61

    Exclamation Засела зараза

    Здравствуйте, уважаемые хелперы. Прошу у Вас помощи. Ситуация следующая: при подключении злополучной USB-флешки прорвался на комп какой то зверь, хоть и стоит прога USB Disk Security + проверка доктором Вебом (с последними базами). После перезагрузки компа сотворилось чудо - пропала половина служб, значки возле часов, а именно звук (хоть сам он есть в системе), скайп (который вовсе не запускается), подключение к нету (хоть нет и есть), пропал ко всему еще общий доступ к файлам и папкам на компе (используется локальная сеть). Комп стал необычно долго загружаться. Пропали значки сетевых подключений в папке Сетевое окружение на рабочем столе. Прошу помочь в данной критической ситуации.Логи высылаю.Спасибо.П.С. Прогу StatWin пожалуйста не трогайте - она нужна.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    809
    - Закройте/выгрузите все программы кроме Internet Explorer.
    Отключите
    - ПК от интернета/локальной сети.
    - Антивирус и Файрвол.
    - Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
     StopService('afnjmvd');
     QuarantineFile('C:\WINDOWS\system32\Drivers\tcpip.sys','');
     QuarantineFile('C:\WINDOWS\system32\admdll.dll','');
     QuarantineFile('H:\Lineage II - Gracia\system\npkcrypt.sys','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\wudfrd.sys','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\usbser_lowerfltj.sys','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\nmwcdnsuc.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\nmwcdnsu.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\ccdcmbo.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\ccdcmb.sys','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\pccsmcfd.sys','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\tiacxln.sys','');
     QuarantineFile('C:\WINDOWS\system32\021B.tmp','');
     DeleteFile('C:\WINDOWS\system32\021B.tmp');
     DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
     DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
     BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('afnjmvd');
     SetAVZPMStatus(true);
     BC_Activate;
     RebootWindows(true);
    end.
    Система перезагрузится.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи согласно Правил (Диагностика)
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антивирус и Файрвол
    - Подключите ПК к интернету/локальной сети
    - Загрузите карантин согласно Правил (Приложение 3).
    - Прикрепите новые логи, а также файл avz_log.txt из папки AVZ (если таковой имеется) к новому сообщению в этой ветке.

  4. #3
    Junior Member Репутация
    Регистрация
    19.10.2007
    Сообщений
    113
    Вес репутации
    61
    Всё сделал, высылаю повторно логи...Посмотрите, что тут и как...Карантин тоже выслал...

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    809
    Выполните скрипт:
    Код:
    Procedure FixUpdate;
    var j:integer; NumStr:string;
    begin
    for j:=0 to 999 do
     begin
        if j=0 then
            NumStr:='CurrentControlSet' else 
            if j<10 then
                NumStr:='ControlSet00'+IntToStr(j) else
                if j<100 then
                    NumStr:='ControlSet0'+IntToStr(j) else
                    NumStr:='ControlSet'+IntToStr(j);
     if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
      begin
      RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
      RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
      AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
      end;
     if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
      begin 
      RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
      RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
      AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
      end;
     end;
    end;
     
    begin
    FixUpdate;
     SetAVZPMStatus(false);
     RebootWindows(true);
    end.
    Система перезагрузится.
    Сделайте повторный лог только согласно пункта 2 Правил (Диагностика)
    virusinfo_syscheck.zip

  6. #5
    Junior Member Репутация
    Регистрация
    19.10.2007
    Сообщений
    113
    Вес репутации
    61
    Скрипт выполнил, лог сделал, выслал...Проблемы по прежнему есть...Посмотрите что тут и как...

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    809
    Очень странно: у Вас не восстанавливаются параметры службы обновления Windows. Выполните полное сканирование системы с помощью свежей версии CureIt или AVPTool. Что найдёт - лечить, при невозможности лечения - удалять. Обо всём найденном и вылеченном сообщите в этой ветке!

  8. #7
    Junior Member Репутация
    Регистрация
    19.10.2007
    Сообщений
    113
    Вес репутации
    61
    Выполнил сканирование CureIt - ом: обнаружил и переместил файл avz_1632_raw.tmp в папке Local Settings\Admin\Temp зараженный вирусом Trojan.MulDrop.61643

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Удалены многие системные службы.
    Ищите диск Windows XP SP3.
    Как выполнить обновление (переустановку) Microsoft Windows XP:
    http://support.microsoft.com/kb/315341/ru

  10. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 35
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\admdll.dll - not-a-virus:RemoteAdmin.Win32.RAdmin.20 ( DrWEB: Program.RemoteAdmin.31 )


  • Уважаемый(ая) PADRE, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Наверное засела гадость
      От PADRE в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 07.12.2011, 09:32
    2. Засела дрянь на нетбуке.
      От тмиур в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 07.09.2010, 19:58
    3. Засела какая-то дрянь. Не могу вычислить.
      От Lolypop в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 15.08.2010, 11:24
    4. Засела зараза. Не могу отловить.
      От MacKena в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 23.05.2010, 22:14
    5. Пакость засела в Opera
      От Sisusa в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 16.12.2009, 16:03

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00872 seconds with 17 queries