Логи прилагаются
Логи прилагаются
Почему логи сделали в безопасном режиме?
Скачайте "OSAM" (Online Solutions Autorun Manager). В меню драйверов правой кнопкой по phkphwx и выберите "Turn Run Off". Подтвердите перезагрузку.
После закройте все программы, выполните скрипт в AVZ:После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам в нормальном режимеКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\Drivers\phkphwx.sys',''); QuarantineFile('C:\RECYCLER\S-1-5-21-1258565869-1372703035-646835151-1147\Dc138.sys',''); DeleteFile('C:\RECYCLER\S-1-5-21-1258565869-1372703035-646835151-1147\Dc138.sys'); DeleteFile('C:\WINDOWS\system32\Drivers\phkphwx.sys'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
новые логи
Ничего плохого не вижу.
Но опять лезет... что за черт!!!
Пофиксите в Hijackthis:Отключите компьютер от интернета, а также антивирус и/или файрвол.Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
Закройте все программы, выполните скрипт в AVZ:После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам. Я с бадуна подозреваю, что у Вас заражен системный файл.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\system32\wuaucldt.exe'); QuarantineFile('C:\WINDOWS\system32\drivers\cdrom.sys',''); QuarantineFile('C:\WINDOWS\system32\dllcache\cdrom.sys',''); QuarantineFile('c:\documents and settings\spartak\wuaucldt.exe',''); QuarantineFile('C:\WINDOWS\system32\regedit.exe',''); QuarantineFile('C:\Documents and Settings\Spartak\Главное меню\Программы\Автозагрузка\monxga32.exe',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\cdrom.sys',''); QuarantineFile('c:\program files\common files\securit\zservice14.exe',''); QuarantineFile('c:\windows\system32\wuaucldt.exe',''); QuarantineFile('C:\Documents and Settings\Spartak\Local Settings\Application Data\vma.exe',''); DeleteFile('C:\Documents and Settings\Spartak\Local Settings\Application Data\vma.exe'); DeleteFile('c:\windows\system32\wuaucldt.exe'); DeleteFile('C:\Documents and Settings\Spartak\Главное меню\Программы\Автозагрузка\monxga32.exe'); DeleteFile('C:\WINDOWS\system32\regedit.exe'); DeleteFile('c:\documents and settings\spartak\wuaucldt.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','syncman'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','syncman'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteWizard('TSW',2,2,true); SetAVZPMStatus(True); RebootWindows(true); end.
Стало ещё хужее :-(
Пофиксите в Hijackthis:Отключите компьютер от интернета, а также антивирус и/или файрвол.Код:O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
Закройте все программы, выполните скрипт в AVZ:После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\documents and settings\localservice\local settings\application data\vma.exe'); QuarantineFile('C:\WINDOWS\system32\DRIVERS\cdrom.sys',''); QuarantineFile('C:\WINDOWS\system32\regedit.exe',''); QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\vma.exe',''); QuarantineFile('c:\documents and settings\localservice\local settings\application data\vma.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-1258565869-1372703035-646835151-1147\Dc4.sys',''); DeleteFile('C:\RECYCLER\S-1-5-21-1258565869-1372703035-646835151-1147\Dc4.sys'); DeleteFile('c:\documents and settings\localservice\local settings\application data\vma.exe'); DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\vma.exe'); DeleteFile('C:\WINDOWS\system32\regedit.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
C:\WINDOWS\system32\DRIVERS\cdrom.sys - замените чистым с дистрибутива. Подробнее здесь
Сделайте новые логи по правилам
вот
Архив с файлами карантина надо через AVZ создавать. Вы 2 последних прислали с непонятно каким паролем. Пришлите карантин как следует.
Выполните в AVZ скрипт из файла ScanVuln.txt и приложите к этой теме файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедится, что уязвимости устранены.
пароль был - virus
AndreyKa, я удалил уже те карантины... но попробую сейчас восстановить.
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\drivers\phkphwx.sys - Rootkit.Win32.Bubnix.s ( DrWEB: Trojan.WinSpy.713, BitDefender: Trojan.Generic.3834966, AVAST4: Win32:Rootkit-gen [Rtk] )
Уважаемый(ая) visahouse, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.