-
Junior Member
- Вес репутации
- 58
Не получается вывести заразу
На лицо явные признаки заражения: нарушение работы интернета (сайты либо вообще не грузятся, либо открываются очень долго, независимо от браузера), на дисках и флешках создаются скрытые папки SYSTEM, RECYCLED, RESTORE... со скрытыми папками внутри имеющими значёк корзины. В автозагрузке я обнаружил запуск С:\SYSTEM\Explorer.exe, после того как отключил эту строку и перегрузился она исчезла, да и файла в этом месте нет. Такое впечатление что он постоянно что-то меняется, вчера вообще начала выскакивать системная ошибка связанная с чем-то вроде LSServc. Явно вирусных процессов не видно, но впечатление что что-то приклеилось хорошенько к системе остаётся. Стояла авира, поставил KIS2010 он не хотел обновлятся, обновил его из безопасного режима. Прогнал полную проверку, понаходил какую-то мелочь, но ничего такого что сидело бы в загрузочных секторах и тем более запущенного. Пробовал касперовский загрузочный диск, он очень долго загружался, потом часа 2 якобы проверял, но так и остался на 0%. При подготовке к этой теме прошёлся CureIt из сейфмода, при первом запуске он сразу же закрылся, якобы из-за системного сбоя, но выкинул табличку что система заражена гадостью RC=3221225477, и что мол карантин и лог на месте. После повторного запуска всё прошло штатно, и нашёл и удалил он Trojan.Siggen1.30070 в какой-то dll'ке и в темпах в ехе'шнике. Сейчас интернет вроде бы отпустило, но что там ещё могло накачаться и установиться само, и как глубоко - сложно сказать. Поэтому логи прилагаю и жду помощи. Заранее спасибо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('c:\SYSTEM\S-3-7-89-2225458569-9856321456-454423558-8896\explorer.exe','');
QuarantineFile('C:\WINDOWS\system32\38592b91.exe','');
QuarantineFile('C:\AUTOEXEC.BAT','');
DeleteFile('C:\WINDOWS\system32\38592b91.exe');
DeleteFile('c:\SYSTEM\S-3-7-89-2225458569-9856321456-454423558-8896\explorer.exe');
DelCLSID('{67EFG7H6-8IJL-56YT-KLH4-76WE8D3RAM87} ');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log
-
-
Junior Member
- Вес репутации
- 58
Карантин отправлен. Логи прилагаю.
-
Ничего необычного
Установите Adobe Acrobat 9.3 или удалите старый
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 58
Давно на этой машине не работал, вот жена немного и запустила Спасибо.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 7
- В ходе лечения вредоносные программы в карантинах не обнаружены
-