-
Junior Member
- Вес репутации
- 51
Есть подозрение что компьютер заражен, но...
Уважаемые форумчане, прошу совета в нашей общей борьбе с заразой)
Итак: Система Win XP, долгое время пользуюсь антивирусом Avira вкупе с файрволлом Outpost. Тем не менее, подозреваю, что есть зараза, которая этими программами не определена.
Например, странно себя ведет проводник - при попытке воспользоваться меню правой кнопки мыши он просто вылетает.
Недавно начались странные проблемы со встроенными в материнку аудио и сетевым адаптерами. Они то определяются системой при загрузке, то нет. Пегрузка может помочь, при этом, а может и нет. Отключение их так и эдак, перестановка драйверов проблему не решила. Перестановка системы "поверх" старой установки для восстановления возможно поврежденных системных файлов также не помогли. Это может и "железный" вопрос, но подозрения остаются...
Вчера пробовал просканировать компьютер в защищенном режиме с помощью свежей DrWebCureit - комп либо выключался, либо перегружался. Попробовал то же сделать загрузившись с диска WinXP PE Live CD -тоже перегружался или выключался при сканировании кюреитом. Наконец, после многих попыток с перегрузками, утилита таки дошла до конца сканирования и выдала результат что комп заражен. Но никаких действий с заразой не предложила и в логе проверки следы определения заразы отсутствуют. Вообще, под управлением WinXP PE Live CD интерфейс утилиты DrWebCureit искажен и отсутствовали многие элементы управления, например -опции выбор метода сканирования. После этого удалил авиру и проинсталлировал NOD32, обновил базы - он тут же нашел пару зараженный файлов. Дальше пробовал запустить Portable Norton Win Doctor 2009 v.22.0.0.52 - при сканировании системы компьютер опять перегружается.
Выполнил сбор информации согласно правил утилитами avz4_32 и HijackThis, логи прилагаю. Посоветуйте что-нибудь, плизз...
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('C:\WINDOWS\system32\the one ring 3d screensaver.scr','');
QuarantineFile('C:\WINDOWS\system32\theone~1.scr','');
QuarantineFile('C:\Documents and Settings\Svetlana\csrss.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\WP800IO.sys','');
QuarantineFile('C:\Program Files\NEYA\svchost.exe','');
DeleteService('WindowsMedia');
DeleteFile('C:\Program Files\NEYA\svchost.exe');
DeleteFile('C:\Documents and Settings\Svetlana\csrss.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_DeleteSvc('WindowsMedia ');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log
-
-
Junior Member
- Вес репутации
- 51
Файл карантина отправил. Скрипты выполнил, логи прилагаю...
-
1. Профиксите в HijackThis как "профиксить в HiJackThis"
Код:
R3 - URLSearchHook: (no name) - - (no file)
O9 - Extra button: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)
2.Выполните скрипт в AVZ
Код:
begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
SetAVZGuardStatus(True);
DeleteService('Bonjour Service');
DeleteFileMask('%programfiles%\Bonjour\','*.*',true);
DeleteDirectory('%programfiles%\Bonjour\');
DelCLSID('{9999A076-A9E2-4C99-8A2B-632FC9429223}');
RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\Bonjour Service');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(14);
BC_DeleteSvc('Bonjour Service');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log
-
-
Junior Member
- Вес репутации
- 51
пофиксил, скрипт выполнил, логи:
-
В логах чисто.
Осталось обновить систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- Обновите Java .
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 22
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\svetlana\csrss.exe - P2P-Worm.Win32.Palevo.aknh ( DrWEB: Trojan.Packed.20312, BitDefender: Gen:Variant.Rimecud.1, AVAST4: Win32:MalOb-AI [Cryp] )
-