-
Junior Member
- Вес репутации
- 53
Непонятные сбои.
Заблочен диспетчер задач,экзешники открываються через раз(иногда пишет что нет прав доступа( я адм. компьютера),тот же AVZ запустил со второго раза. В инет не выходит вообще,убиты опера и эксплорер. Пытался лечить CureIT! Запускаю его,пишет что сейчас будет включен режим усиленной защиты и будет работать даже если виндоуз повреждён и всё такое. Жму ок,доктор закрываеться и всё.
Логи предоставляю.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Обновите базы AVZ (файл\обновление баз) и переделайте логи.
-
-
Junior Member
- Вес репутации
- 53
-
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('C:\WINDOWS\system32\djosiv.exe','');
QuarantineFile('C:\WINDOWS\system32\61c68d84.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
DeleteFile('C:\WINDOWS\system32\61c68d84.exe');
DeleteFile('C:\WINDOWS\system32\djosiv.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
-
-
Junior Member
- Вес репутации
- 53
Сделал,однако при первом выполнении скрипта забыл отключить ввостановление системы,выполнил,ребутнул,отключил и снова провёл скрипт. В остальном точно по списку. Файлики прилагаю
Результат загрузкиФайл сохранён как 100810_132747_quarantine_4c611b9312e10.zip
Размер файла 138107
MD5 6f7b1bfc01f052445c71e35bb84f9574
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\fjhdyfhsn.bat','');
DeleteFile('C:\WINDOWS\system32\fjhdyfhsn.bat');
DeleteFile('C:\Program Files\Common Files\keylog.txt');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Сделайте повторный лог RSIT
Обновите систему
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- Обновите Java .
-
-
Junior Member
- Вес репутации
- 53
ок,сделаю. Сейчас сканится наконец то запустившимся Cureit ом,нашёл 2 файлика пока что
Trojan.PWS.Ibank.81
и
Trojan.PWS.Ibank.80
Досканиться и пришлю логи
-
-
-
Junior Member
- Вес репутации
- 53
В предыдущем посте вы написали что нада создать карантин,но не написали что его нада присылать...так что я пожалуй пришлю)
Файл сохранён как 100810_141104_quarantine_4c6125b8d9436.zip
Размер файла 1224
MD5 9edf7e7afb81840fcc4b04fd6554312f
Обновления грузим сейчас....350 мб однако...
-
-
-
Junior Member
- Вес репутации
- 53
спасиибо) сейчас догрузим обновления и отлично)
Добавлено через 11 минут
хм...как то не очень...не запускаеться опера,IE(пока что старый еще)
Неужели всё переустанавливать? Можно как нибудь ввостановить то что сломал вирус?
Последний раз редактировалось XemoFIL; 10.08.2010 в 14:52.
Причина: Добавлено
-
оперу попробуйте переустановить. А IE обновите до IE8
-
-
Junior Member
- Вес репутации
- 53
Сделал. Теперь на компе можно хоть работать,однако он периодически показывает загрузку процессора в 100% разными процессами,то svhost,то cmd.
Cureit запускается на быструю проверку,находит какое то Malaware в виде какого то файла .tmp,а вот после этого на полную проверку не запускается,подвисает всё на стадии "подготовка к сканированию"
ps
сижу со здорового компа,но что то стукнуло и решил я ыполнить ваши предыдущие указания и на этой машине. Поставил Java,обновления Windows,IE8,всё разумеется с офф сайта. Решил далее провести проверку для начала тем же Cureit
Быстрая проверка не нашла ничего,полная-Trojan webmonier
Однако полная проверка благополучно остановилась на файлике pe2elf.exe в папке Virtual Pascal и всё...это было уже около 75% проверки,но оно стояло на этом файлике и дальше идти не хотело...при этом всё работало и нажималось,а вот процесс дальше не шёл.....
Вот. Или для другого компа содавать отдельную тему? Тогда это не удаляйте,перенесу и создам)
pps
Когда я залез в эту папку,мой антивирус (avira) нашёл там trojan govx(как то так,возможны опечатки) но это был не pe2elf.exe а соседний файл- pe2el.exe
Заранее спасибо!
-
для другого компа - отдельную тему
сделайте еще для первого лог MBAM на всякий случай
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 13
- В ходе лечения обнаружены вредоносные программы:
- c:\program files\internet explorer\setupapi.dll - Trojan.Win32.BHO.ajcb ( DrWEB: Trojan.Siggen2.353, BitDefender: Trojan.BHO.Agent.BY )
- c:\program files\internet explorer\setupapi.dll - Trojan.Win32.BHO.ajmw ( DrWEB: Trojan.WinSpy.922, BitDefender: Trojan.Spy.Agent.OFN, AVAST4: Win32:Trojan-gen )
- c:\windows\system32\djosiv.exe - Packed.Win32.Krap.hr ( DrWEB: Trojan.PWS.Ibank.87, BitDefender: Gen:Variant.Zbot.15, AVAST4: Win32:Malware-gen )
- c:\windows\system32\61c68d84.exe - Backdoor.Win32.Shiz.tt ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, AVAST4: Win32:Rootkit-gen [Rtk] )
-