-
Junior Member
- Вес репутации
- 53
NT AUTHORITY\SYSTEM+Virut+mod.Hosts
Доброго времени суток!
Когда заподозрил неладное попытался скачать CureIT - невозмжно зайти на антивир.сайты!
Использовал 11-дневной давности - обнаружил Virut, Backdoor, и модифицированый Hosts.
Далее Чистил AVP - тоже старый (потом новый)
Полную проверку провести невозможно - NT AUTHORITY\SYSTEM "Завершение работы системы" .....services.exe .... с кодом состояния 1073740972
Выполнил:
Выполнить>>sconfig>>Автозагрузка>>Убил "dumprep 0 -u"
В результате заработал Virusinfo (может и не из-за этого)
Сделал логи AVZ+hijack
Прикрепляю
Заранее спасибо за ваш праведный труд!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
TerminateProcessByName('c:\docume~1\admin\locals~1\temp\rtkbtmnt.exe');
QuarantineFile('c:\docume~1\admin\locals~1\temp\rtkbtmnt.exe','');
TerminateProcessByName('c:\windows\system32\userini.exe');
QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\rcx7tc.exe','');
QuarantineFile('C:\WINDOWS\System32\userinit.exe','');
QuarantineFile('C:\WINDOWS\system32\wudfhost.exe','');
QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
QuarantineFile('c:\windows\explorer.exe:userini.exe:$DATA','');
QuarantineFile('C:\System Volume Information\_restore{4AB3431F-07CC-4ABC-8EAF-D5869BF3EB58}\RP11\A0002222.exe:userini.exe:$DATA','');
QuarantineFile('C:\System Volume Information\_restore{4AB3431F-07CC-4ABC-8EAF-D5869BF3EB58}\RP11\A0002246.exe:userini.exe:$DATA','');
QuarantineFile('C:\System Volume Information\_restore{4AB3431F-07CC-4ABC-8EAF-D5869BF3EB58}\RP11\A0002805.exe:userini.exe:$DATA','');
QuarantineFile('C:\System Volume Information\_restore{4AB3431F-07CC-4ABC-8EAF-D5869BF3EB58}\RP11\A0003276.exe:userini.exe:$DATA','');
QuarantineFile('C:\System Volume Information\_restore{4AB3431F-07CC-4ABC-8EAF-D5869BF3EB58}\RP11\A0003620.exe:userini.exe:$DATA','');
QuarantineFile('C:\System Volume Information\_restore{4AB3431F-07CC-4ABC-8EAF-D5869BF3EB58}\RP11\A0004635.exe:userini.exe:$DATA','');
QuarantineFile('C:\System Volume Information\_restore{4AB3431F-07CC-4ABC-8EAF-D5869BF3EB58}\RP11\A0004654.exe:userini.exe:$DATA','');
QuarantineFile('C:\System Volume Information\_restore{4AB3431F-07CC-4ABC-8EAF-D5869BF3EB58}\RP11\A0004680.exe:userini.exe:$DATA','');
QuarantineFile('C:\System Volume Information\_restore{4AB3431F-07CC-4ABC-8EAF-D5869BF3EB58}\RP11\A0004711.exe:userini.exe:$DATA','');
QuarantineFile('C:\System Volume Information\_restore{4AB3431F-07CC-4ABC-8EAF-D5869BF3EB58}\RP11\A0005098.exe:userini.exe:$DATA','');
QuarantineFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA','');
QuarantineFile('C:\DOCUME~1\Admin\APPLIC~1\WinRAR\MSDLLW~1\msftldr.dll','');
QuarantineFile('C:\WINDOWS\system32\userini.exe','');
DeleteFile('C:\WINDOWS\system32\userini.exe');
DeleteFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{4AB3431F-07CC-4ABC-8EAF-D5869BF3EB58}\RP11\A0005098.exe:userini.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{4AB3431F-07CC-4ABC-8EAF-D5869BF3EB58}\RP11\A0004711.exe:userini.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{4AB3431F-07CC-4ABC-8EAF-D5869BF3EB58}\RP11\A0004680.exe:userini.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{4AB3431F-07CC-4ABC-8EAF-D5869BF3EB58}\RP11\A0004654.exe:userini.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{4AB3431F-07CC-4ABC-8EAF-D5869BF3EB58}\RP11\A0004635.exe:userini.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{4AB3431F-07CC-4ABC-8EAF-D5869BF3EB58}\RP11\A0003620.exe:userini.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{4AB3431F-07CC-4ABC-8EAF-D5869BF3EB58}\RP11\A0003276.exe:userini.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{4AB3431F-07CC-4ABC-8EAF-D5869BF3EB58}\RP11\A0002805.exe:userini.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{4AB3431F-07CC-4ABC-8EAF-D5869BF3EB58}\RP11\A0002246.exe:userini.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{4AB3431F-07CC-4ABC-8EAF-D5869BF3EB58}\RP11\A0002222.exe:userini.exe:$DATA');
DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\rcx7tc.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','zhswcl');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Повторите логи
-
-
Junior Member
- Вес репутации
- 53
Скрипты выполнил.
Карантин выслал.
После повторного "Скрипта лечения/карантина..." вылезло "Завершение работы системы.... ....services.exe..."
На сайт virusinfo.info - идти не хотел(((
-
У Вас файловый вирус, пришлите файл АВЗ в zip архиве, с паролем virus по ссылке Прислать запрошенный карантин вверху Вашей темы. Пролечитесь так - http://virusinfo.info/showthread.php?t=15927 со всеми подключенными съёмными устройствами.
-
-
Junior Member
- Вес репутации
- 53
Вот вроде и все
Пролечился с помощью Dr.Web LiveCD!
Было убито несметное множество распространившегося по всем щелям вируса Virut.56 и еще парочка))))
Винда заработала, скопированы все важные данные на болванки. Операционная система была переустановлена в связи с ее не полной работоспособностью (многие системные *.exe и *.cab файлы были не излечимы и удалены - полностью слетели WiFi, Lan).
Свежий CureIT ничего не нашел!
Свежие логи прикрепляю!
-
В логах ничего подозрительного, но:
>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных
Протокол антивирусной утилиты AVZ версии 4.34
Для большей уверенности скачайте AVZ 4.35, обновите ее базы и сделайте логи заново.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Сделано
Скачал AVZ 4.35
Обновил базы
Вот логи:
-
I am not young enough to know everything...
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\\docume~1\\admin\\applic~1\\winrar\\msdllw~1\\m sftldr.dll - Trojan.Win32.Agent.gwoy ( DrWEB: Tool.Siggen.6125, BitDefender: Gen:Variant.Hyat.1, AVAST4: Win32:Malware-gen )
-