Показано с 1 по 17 из 17.

Только вычищу - обратно заражается (заявка № 77610)

  1. #1
    Junior Member Репутация
    Регистрация
    25.03.2008
    Сообщений
    41
    Вес репутации
    36

    Thumbs up Только вычищу - обратно заражается

    Hi.

    Доменный комп.
    Зашел под другой учеткой.
    Сабж.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    25.03.2008
    Сообщений
    41
    Вес репутации
    36
    up

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    1. Профиксите в HijackThis как "профиксить в HiJackThis"
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
    2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Выгрузите антивирус и/или Файрвол
    - Закройте все программы
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteService('protect');
     QuarantineFile('C:\WINDOWS\system32\Drivers\protect.sys','');
     QuarantineFile('c:\windows\system32\wuaucldt.exe','');
     QuarantineFile('c:\documents and settings\Администратор\wuaucldt.exe','');
     QuarantineFile('C:\WINDOWS\system32\zoukuzouvuz.exe','');
     QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
     QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
     QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
     QuarantineFile('C:\Documents and Settings\Андрей\csrss.exe','');
     QuarantineFile('C:\DOCUME~1\86A9~1\LOCALS~1\Temp\dvksic.sys','');
     DeleteService('wqelrutker');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\cdrom.sys','');
     DeleteFile('C:\DOCUME~1\86A9~1\LOCALS~1\Temp\dvksic.sys');
     DeleteFile('C:\Documents and Settings\Андрей\csrss.exe');
     DeleteFile('C:\WINDOWS\system32\csrcs.exe');
     DeleteFile('C:\WINDOWS\system32\sdra64.exe');
     DeleteFile('C:\WINDOWS\system32\regedit.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gejys');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','gejys');
     DeleteFile('C:\WINDOWS\system32\zoukuzouvuz.exe');
     DeleteFile('c:\documents and settings\Администратор\wuaucldt.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','syncman');
     DeleteFile('c:\windows\system32\wuaucldt.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','syncman');
     DeleteFile('C:\WINDOWS\system32\Drivers\protect.sys');
     QuarantineFile('C:\WINDOWS\system32\svchost.exe:exe.exe ','');
     DeleteFile('C:\WINDOWS\system32\svchost.exe:exe.exe ');
     BC_ImportAll;
     BC_DeleteSvc('ICF');
     ExecuteSysClean;
     ExecuteRepair(11);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

    Добавлено через 1 минуту

    - Сделайте лог Gmer
    Последний раз редактировалось polword; 04.05.2010 в 10:54. Причина: Добавлено

  5. #4
    Junior Member Репутация
    Регистрация
    25.03.2008
    Сообщений
    41
    Вес репутации
    36
    Забыл сказать, что сетевуха сообщает, что кабель не подключен.

  6. #5
    Junior Member Репутация
    Регистрация
    25.03.2008
    Сообщений
    41
    Вес репутации
    36
    Карантин послал.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    Цитата Сообщение от polword Посмотреть сообщение
    Сделайте лог Gmer
    После предварительного сканирования кнопку Scan - нажимали?

    Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Выгрузите антивирус и/или Файрвол
    - Закройте все программы
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('C:\WINDOWS\explorer.exe:userini.exe','');
     DeleteFile('C:\WINDOWS\explorer.exe:userini.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
     QuarantineFile('C:\WINDOWS\system32\drivers\TBPANEL.SYS','');
     QuarantineFile('srservice.sys','');
     DeleteService('srservice');
     DeleteFile('srservice.sys');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(11);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Замените файл C:\WINDOWS\system32\DRIVERS\cdrom.sys на чистый из дистрибутива.
    Как заменить файл можно посмотреть тут
    - Сделайте повторные логи virusinfo_syscheck.zip и Gmer

  8. #7
    Junior Member Репутация
    Регистрация
    25.03.2008
    Сообщений
    41
    Вес репутации
    36
    >> После предварительного сканирования кнопку Scan - нажимали?

    Не понятен вопрос? Лог должен выглядеть по другому?

    Новый лог такой же.

    cdrom.sys закинул

    при выполнении 1 скрипта ошибки про карантин

  9. #8
    Junior Member Репутация
    Регистрация
    25.03.2008
    Сообщений
    41
    Вес репутации
    36
    up

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Выполните в AVZ скрипт ScanVuln.txt и приложите сюда файл avz_log.txt из под-папки log.
    Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
    Перезагрузите компьютер.
    Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

  11. #10
    Junior Member Репутация
    Регистрация
    25.03.2008
    Сообщений
    41
    Вес репутации
    36
    все сделаю чуть позже.

    но вот в чем вопрос.

    После последнего выполнения последнего скрита (именно последний я так думаю ни причем, просто не дождался вчера ответа и решил вырубить комп на ночь) комп теперь не может выключиться или перегрузиться. не срабатывает ничего. выполнение скрипта перезагрузки тоже не помогает. компьютер продолжает работать. все запускается.

    какие есть по этому поводу мысли.

    ПС я его специально не выключаю, давайте разберемся в чем дело.

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    обновите систему
    - SP2 обновите до Service Pack 3(может потребоваться активация)
    * Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
    - Установите Internet-Explorer 8.(даже если Вы его не используете)
    - Поставте все последние обновления системы Windows - тут

    после посмотрим какие проблемы останутся

  13. #12
    Junior Member Репутация
    Регистрация
    25.03.2008
    Сообщений
    41
    Вес репутации
    36
    Обновлять до sp3 при вирусах можно?
    Вложения Вложения

  14. #13
    Junior Member Репутация
    Регистрация
    25.03.2008
    Сообщений
    41
    Вес репутации
    36
    Последние данные.

    sp3 пока не ставил
    Вложения Вложения

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    1. Профиксите в HijackThis как "профиксить в HiJackThis"
    Код:
    O4 - HKLM\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
    O4 - HKCU\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
    2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Выгрузите антивирус и/или Файрвол
    - Закройте все программы
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     DeleteFile('C:\WINDOWS\system32\userini.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(6);
     ExecuteRepair(8);
     ExecuteRepair(11);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

  16. #15
    Junior Member Репутация
    Регистрация
    25.03.2008
    Сообщений
    41
    Вес репутации
    36
    Похоже все нормально.

    Спасибо.

    ПС комп также стал нормально перегружаться.

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    обновите систему. Рекомендации в посте №11

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 29
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) alex2san, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. userinit.exe заражается
      От Christian в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 07.07.2011, 07:32
    2. Ответов: 5
      Последнее сообщение: 19.03.2010, 19:07
    3. Заражается свежеустановленная ОС
      От Makc-81 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 14.01.2010, 13:09
    4. Ответов: 1
      Последнее сообщение: 03.05.2009, 15:55
    5. заражается startdrv.exe
      От alefmsk0691 в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.02.2009, 03:10

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01118 seconds with 17 queries