-
Junior Member
- Вес репутации
- 55
Подозрительный автозапуск + проблемы с сетью
Здравствуйте. Возникла следующая проблема:
При вставленном сетевом проводе во встроенную сетевую карту появляется сообщение "сетевой кабель не подключен".
Поставил еще одну сетевую карту - не может получить ип-адрес. Если ввести адрес вручную - то только отсылает пакеты, не принимая ничего в ответ, или принимая по одному раз в 30 секунд. Сеть соответственно не видит. Менял кабель - та же картина.
При подключении другого компьютера на этот же кабель и розетку - все прекрасно работает.
При просмотре автозагрузки через АВЗ обнаружил несколько неизвестных .exe, находящихся в папке system32, которые не могу отключить или удалить.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключите восстановление системы, защитное ПО.
Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\annhfk.exe','');
QuarantineFile('C:\WINDOWS\system32\73ebb5d0.exe','');
QuarantineFile('C:\WINDOWS\system32\16b4ec05.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\2EAtX0O.exe','');
DeleteFile('\\?\globalroot\systemroot\system32\2EAtX0O.exe');
DeleteFile('C:\WINDOWS\system32\16b4ec05.exe');
DeleteFile('C:\WINDOWS\system32\73ebb5d0.exe');
DeleteFile('C:\WINDOWS\system32\annhfk.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
RebootWindows(true);
end.
Компьютер перезагрузится. Карантин прислать согласно правилам. Логи повторить + сделать лог ГМЕР.
Последний раз редактировалось Bratez; 04.02.2011 в 14:49.
Причина: дополнил чуть-чуть
-
-
Junior Member
- Вес репутации
- 55
Скрипт выполнил. Логи приложил. Полный лог ГМЕРа, к сожалению, сейчас выложить не могу. Долго проверяет =)
Полный лог предоставлю позже.
Пока что проблема осталась на месте, увы.
-
- Выполните скрипт в AVZ
Код:
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
BC_ServiceKill('shvlnjula');
BC_Activate;
Rebootwindows(true);
end.
После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;
-
-
Junior Member
- Вес репутации
- 55
Скрипт выполнил.
вот логи
-
- Выполните скрипт в AVZ
Код:
procedure WhatService(AServiceName : string);
var
dllname, servicekey : string;
begin
servicekey := 'SYSTEM\CurrentControlSet\Services\'+AServiceName;
RegKeyResetSecurity( 'HKLM', servicekey);
RegKeyResetSecurity( 'HKLM', servicekey+'\Parameters');
AddToLog('Description: '+RegKeyStrParamRead( 'HKLM', servicekey, 'Description'));
AddToLog('DisplayName: '+RegKeyStrParamRead( 'HKLM', servicekey, 'DisplayName'));
AddToLog('ImagePath: '+RegKeyStrParamRead( 'HKLM', servicekey, 'ImagePath'));
dllname := RegKeyStrParamRead( 'HKLM', servicekey+'\Parameters', 'ServiceDll');
AddToLog('ServiceDll: '+dllname);
QuarantineFile(dllname,'');
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
WhatService('shvlnjula');
BC_ImportAll;
BC_Activate;
SaveLog(GetAVZDirectory+'shvlnjula.log');
RebootWindows(true);
end.
После перезагрузки:
- файл shvlnjula.log прикрепите к сообщению
-
-
Junior Member
- Вес репутации
- 55
-
- Выполните скрипт в AVZ
Код:
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
QuarantineFile('C:\WINDOWS\system32\eirqn.dll','');
BC_ServiceKill('shvlnjula');
DeleteFile('C:\WINDOWS\system32\eirqn.dll');
BC_Activate;
Rebootwindows(true);
end.
После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;
-
-
Junior Member
- Вес репутации
- 55
-
подозрительного нет.
Обновите систему
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
-
-
Junior Member
- Вес репутации
- 55
Все работает, спасибо за помощь.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 8
- В ходе лечения вредоносные программы в карантинах не обнаружены
-