-
Junior Member
- Вес репутации
- 62
Mkar.E угробил мою систему
Просканировал комп Авирой и она удалила следующие файлы:
C:\SOS\PE1\minint\EXPLORER.EXE
C:\SOS\LS\$WIN_NT$.~LS\I386\SVCPACK\FP_AX.EXE
C:\SOS\LS\$WIN_NT$.~LS\I386\AUTOFMT.EXE
C:\SOS\LS\$WIN_NT$.~LS\I386\AUTOCHK.EXE
C:\RECYCLER\S-1-5-21-2025429265-1035525444-1801674531-500\Dc3.exe
C:\RECYCLER\S-1-5-21-2025429265-1035525444-1801674531-500\Dc5\Программы\magentsetup.exe
C:\SOS\LS\$WIN_NT$.~LS\I386\SVCPACK\MSXML.EXE
C:\SOS\PE1\minint\SYSTEM32\AUTOFMT.EXE
C:\SOS\PE1\minint\SYSTEM32\AUTOCHK.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\RTLCPL.EXE
C:\SOS\PE1\minint\SYSTEM32\NTOSKRNL.EXE
C:\SOS\PE1\minint\SYSTEM32\NTKRNLMP.EXE
C:\WINDOWS\RtlUpd.exe
C:\SOS\PE1\minint\SYSTEM32\WINLOGON.EXE
C:\WINDOWS\SkyTel.exe
C:\WINDOWS\$NtUninstallwmp11$\setup_wm.exe
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\vbc.e xe
C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
C:\WINDOWS\OemDrv\S\R2\AlcWzrd.exe
C:\WINDOWS\OemDrv\S\R2\MicCal.exe
C:\WINDOWS\OemDrv\S\R2\RtlUpd.exe
C:\WINDOWS\OemDrv\S\R2\SkyTel.exe
C:\WINDOWS\OemDrv\S\R2\RTLCPL.exe
C:\WINDOWS\OemDrv\V\N1\nvcplui.exe
C:\WINDOWS\system32\accwiz.exe
C:\WINDOWS\OemDrv\V\N1\nwiz.exe
C:\WINDOWS\pchealth\helpctr\binaries\HelpCtr.exe
C:\WINDOWS\system32\autochk.exe
C:\WINDOWS\pchealth\helpctr\binaries\HelpSvc.exe
C:\WINDOWS\OemDrv\V\N1\nvdspsch.exe
C:\WINDOWS\system32\autoconv.exe
C:\WINDOWS\system32\autofmt.exe
C:\WINDOWS\system32\dxdiag.exe
C:\WINDOWS\system32\Hoster.exe
C:\WINDOWS\system32\mmc.exe
C:\WINDOWS\system32\ntoskrnl.exe
C:\WINDOWS\system32\mstsc.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\nvcplui.exe
C:\WINDOWS\system32\ntbackup.exe
C:\WINDOWS\system32\ntkrnlpa.exe
C:\WINDOWS\system32\nvdspsch.exe
C:\WINDOWS\system32\wiaacmgr.exe
C:\WINDOWS\system32\spider.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\nwiz.exe
C:\WINDOWS\system32\usmt\migwiz.exe
C:\WINDOWS\system32\XMNT2002.exe
После чего при запуске винды:
1. Пропал рабочий стол и нижняя планка со значками "старт", быстрый запуск, трей и т. д.
2. До этого было где-то 60-61 процесс в Диспечере Задач, стало где-то 34.
3. Эксплорер не смог вначале запустить при введении его названия в ДЗ, а потом вдруг запустил и появился рабочий стол, нижняя планка, и я смог открыть браузер и зайти на ваш сайт.
Теперь прошу помощи. Может кто знает, какие из вышеперечисленных и удалённых файлов являются системными и важными? А то куча значков в трее пропало... И почему процессов в два раза меньше стало? (теперь 3
Ещё:
Система у меня на диске Е, если что. На диске С вторая система, запасная.
На одном сайте мне подсказали, что у меня на компе вирус W32/Mkar.E. Пробовал его лечит Куреитом от Веба, но что-то улучшений не вижу, хоть по логам и видно было исцелённые файлы.
Проблемы у меня сохраняются. Я не могу почему-то зайти ни на один противовирусный сайт. На ваш тоже. Зашёл вот сейчас только с пмощью мобильного интернета. А через АДСЛ модем не могу. Скорее всего вирус не даёт мне посещать ваш сайт. Другие посещаются нормально.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 62
Только что поставил ИЕ8 и проблема с незагрузкой процесса "експлорер" при старте пропала. Но вот на ваш сайт по-прежнему не пускает...
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('\\?\globalroot\systemroot\system32\ePkwDSa.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\X9Tnw60.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\EoStXeu.exe','');
DeleteService('NetLogSrv');
QuarantineFile('E:\WINDOWS\system32\drivers\svchost.exe','');
QuarantineFile('e:\program files\speed-link vibration joystick\gm_devupdate.exe','');
DeleteFile('E:\WINDOWS\system32\drivers\svchost.exe');
DeleteFile('\\?\globalroot\systemroot\system32\EoStXeu.exe');
DeleteFile('\\?\globalroot\systemroot\system32\X9Tnw60.exe');
DeleteFile('\\?\globalroot\systemroot\system32\ePkwDSa.exe');
DeleteFile('E:\WINDOWS\system32\EoStXeu.exe');
DeleteFile('E:\WINDOWS\system32\X9Tnw60.exe');
DeleteFile('E:\WINDOWS\system32\ePkwDSa.exe');
DelBHO('{39AA6D29-4236-4F25-A36A-3410EF5283D9} ');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(20);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 62
Ура. После выполнения вашего скрипта я могу теперь посещать ваш сайт по проводному интернету, а не только мобильному.
Карантин и архивы выслал.
-
больше подозрительного не вижу
-
-
Junior Member
- Вес репутации
- 62
А Куреит увидел...
bgrglTL.exe;E:\WINDOWS\system32;Trojan.Packed.2032 3;Удален.;
hJdVVnA.exe;E:\WINDOWS\system32;Trojan.Packed.2032 0;Удален.;
HSFbKWr.exe;E:\WINDOWS\system32;Trojan.Packed.2032 0;Удален.;
iSJCeX2.exe;E:\WINDOWS\system32;Trojan.Packed.2032 0;Удален.;
Это я обновил куреит и сделал им быструю проверку системы. Значит ли это, что возможно где-то на компьютере ещё сидит часть вируса и продолжает клепать свои клоны?
-
Сообщение от
Snake_man
А Куреит увидел...
глазастее меня значит Куреит
- Сделайте лог MBAM
-
-
Сообщение от
polword
глазастее меня значит Куреит
Неее, глазастее AVZ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 62
-
1. удалите в MBAM
Код:
Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\navigator (Trojan.Zlob) -> No action taken.
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
2.Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetAVZPMStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('E:\Program Files\DAEMON Tools Pro\daemon.tools.pro.patch.exe','');
QuarantineFile('E:\Documents and Settings\All Users\Application Data\{4C2CB1B6-C45E-4307-ACEE-27BE65138599}\offline\IFGMGCEMRAFAKNXEIMMAXFNSDRFFFF0\memman.vxd','');
QuarantineFile('E:\WINDOWS\system32\memman.vxd','');
QuarantineFile('F:\Program Files\Internet Download Manager\Patch.exe','');
DeleteFile('E:\Documents and Settings\All Users\Application Data\{4C2CB1B6-C45E-4307-ACEE-27BE65138599}\offline\IFGMGCEMRAFAKNXEIMMAXFNSDRFFFF0\memman.vxd');
DeleteFile('E:\WINDOWS\system32\memman.vxd');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог MBAM
-
-
Junior Member
- Вес репутации
- 62
Карантин прислать не могу, так как пишет, что этот файл уже был загружен, хотя я его не загружал ещё.
-
Junior Member
- Вес репутации
- 62
ап
Добавлено через 1 час 46 минут
Ну так что там? Нет больше вирусов в логе?
Последний раз редактировалось Snake_man; 28.05.2010 в 23:28.
Причина: Добавлено
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 62
Спасибо за помощь. Прогу закрываю.
-
Надеюсь, Вы сделали не только быструю проверку куреитом, но и полную.
И лучше обновите его, это имеет смысл каждый раз, в том числе и ночью.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 14
- В ходе лечения обнаружены вредоносные программы:
- \\?\globalroot\systemroot\system32\eostxeu.exe - Trojan.Win32.Inject.aqut ( DrWEB: Trojan.DownLoad.64043, AVAST4: Win32:Rootkit-gen [Rtk] )
- \\?\globalroot\systemroot\system32\epkwdsa.exe - Trojan.Win32.Inject.aqut ( DrWEB: Trojan.DownLoad.64043, AVAST4: Win32:Rootkit-gen [Rtk] )
- \\?\globalroot\systemroot\system32\x9tnw60.exe - Trojan-Spy.Win32.Shiz.ce ( DrWEB: Trojan.Packed.20375, BitDefender: Trojan.Generic.4120052, NOD32: Win32/Spy.Shiz.NBD trojan, AVAST4: Win32:Spyware-gen [Spy] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-