Junior Member
Вес репутации
62
Червь и несколько троянов
Добрый день!
Серферя по Интернету, пользуя браузер Chrome, что-то поймал, НОД32 предложил перезагрузиться, и после перезагрзки сам НОД32, больше не стартует, не открываются и сайты НОДа и ДрВеба. CureIt до конца не сканирует, перезагружается ПК, в безопасном тоже самое. Прогнал свеже скачанным DrWeb Live CD, удалил несколько троянов, но, по моему не помогло...
Прошу помочь.
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Отключить восстановление системы, защитное ПО.
Профиксить:
Код:
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe srnh.lto iqfnr
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\8wFHlc9.exe,\\?\globalroot\systemroot\system32\aXI4JJY.exe,
O20 - AppInit_DLLs: C:\WINDOWS\system32\dllcache\wmdm.inf:KBYSsQL
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\dllcache\wmdm.inf:KBYSsQL','');
QuarantineFile('C:\Program Files\Common Files\System\WebCheck.dll','');
QuarantineFile('C:\Program Files\ArcSoft\TotalMedia Theatre\uDTStart.exe','');
QuarantineFile('C:\WINDOWS\system32\admdll.dll','');
QuarantineFile('\\?\globalroot\systemroot\system32\aXI4JJY.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\8wFHlc9.exe','');
QuarantineFile('C:\Program Files\mp3Tag 5\mp3tag.exe','');
QuarantineFile('C:\Documents and Settings\admin\Главное меню\Программы\Автозагрузка\winwyo32.exe','');
DeleteFile('C:\Documents and Settings\admin\Главное меню\Программы\Автозагрузка\winwyo32.exe');
DeleteFile('C:\WINDOWS\system32\dllcache\wmdm.inf:KBYSsQL');
DeleteFile('\\?\globalroot\systemroot\system32\8wFHlc9.exe');
DeleteFile('\\?\globalroot\systemroot\system32\aXI4JJY.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Generic Host for Win32 Services');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(17);
ExecuteRepair(20);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. Карантин загрузить по красной ссылке. Логи повторить.
Junior Member
Вес репутации
62
Спасибо за ответ!
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\glob alroot\systemroot\system32\8wFHlc9.exe,\\?\globalr oot\systemroot\system32\aXI4JJY.exe, - не фиксится...
Файл сохранён как 100518_231124_virus_4bf2e65c5ce5f.zip - карантин
Пофиксите в HijackThis:
Код:
R3 - URLSearchHook: {1A03F196-9617-4CA0-842B-A83CEECB022B} - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\8wFHlc9.exe,\\?\globalroot\systemroot\system32\aXI4JJY.exe,
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее... ):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Common Files\System\WebCheck.dll','');
DeleteFile('%system32%\aXI4JJY.exe');
DeleteFile('%system32%\8wFHlc9.exe');
DeleteFile('C:\Program Files\Common Files\System\WebCheck.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
Junior Member
Вес репутации
62
Спасибоза ответ!
Файл сохранён как 100519_000509_virus_4bf2f2f51ed4f.zip - карантин
Вложения
Remote Administrator У Вас установлен?
Junior Member
Вес репутации
62
В логах чисто, что с проблемой?
Junior Member
Вес репутации
62
похоже все нормализовалось, антивирусные сайты открываються. Сам нод32 видимо был повержен вирусом, не стартует, попробую переустановить.
Огромное спасибо за помощь!
Сообщение от
folder
Сам нод32 видимо был повержен вирусом, не стартует, попробую переустановить.
Попробуем исправить, выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
Executerepair(1);
Executerepair(6);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.
Отпишитесь
Junior Member
Вес репутации
62
Junior Member
Вес репутации
62
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 30 В ходе лечения обнаружены вредоносные программы:
c:\windows\system32\admdll.dll - not-a-virus:RemoteAdmin.Win32.RAdmin.20 ( DrWEB: Program.RemoteAdmin.21 ) \\?\globalroot\systemroot\system32\axi4jjy.exe - Trojan-Dropper.Win32.Shiz.df ( DrWEB: Trojan.PWS.Ibank.39, NOD32: Win32/Spy.Shiz.NAW trojan, AVAST4: Win32:Rootkit-gen [Rtk] ) \\?\globalroot\systemroot\system32\8wfhlc9.exe - Trojan.Win32.Inject.aqka ( DrWEB: Trojan.DownLoad.64043, AVAST4: Win32:Malware-gen )