-
Junior Member
- Вес репутации
- 57
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
ndis.sys - проверьте наличие файла в папке system32\drivers
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\wuaucldt.exe','');
QuarantineFile('c:\documents and settings\anatoli\wuaucldt.exe','');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\Documents and Settings\Anatoli\ryghtdnhэ.exe','');
QuarantineFile('C:\Documents and Settings\Anatoli\ryghtdnhц.exe','');
DeleteFile('C:\Documents and Settings\Anatoli\ryghtdnhц.exe');
DeleteFile('C:\Documents and Settings\Anatoli\ryghtdnhэ.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ryghtdnhэ');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ryghtdnhц');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ryghtdnhц');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ryghtdnhэ');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
DeleteFile('c:\documents and settings\anatoli\wuaucldt.exe');
DeleteFile('c:\windows\system32\wuaucldt.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
спасибо за ответ!
ndis.sys действительно отсутствовал, но его удалось скопировать с другого места. тем не менее, сеть не заработала.
залил архив карантина
прикладываю новые логи
-
В AVZ выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\Anatoli\DoctorWeb\Quarantine\tmp9135.tmp','');
QuarantineFile('C:\Documents and Settings\Anatoli\DoctorWeb\Quarantine\1[1].exe','');
QuarantineFile('C:\Temp\svchost.exe','');
QuarantineFile('C:\Program Files\INTELLINET\Common\INTELLINET_UI.exe','');
DeleteService('svngage');
QuarantineFile('C:\WINDOWS\system32\drivers\svngage.exe','');
DeleteFile('C:\WINDOWS\system32\drivers\svngage.exe');
DeleteFile('C:\Temp\svchost.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','SystemService');
DeleteFile('C:\Documents and Settings\Anatoli\DoctorWeb\Quarantine\1[1].exe');
DeleteFile('C:\Documents and Settings\Anatoli\DoctorWeb\Quarantine\tmp9135.tmp');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
Логи повторите, загрузившись в обычном режиме!
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 57
сделано
System больше так не загружает процессор
-
Junior Member
- Вес репутации
- 57
Я так понимаю, вирусы из системы уже удалось удалить?
Есть ли какая-то возможность восстановить работу сети, или это уже вне темы этого форума?
Тем не менее, спасибо за помощь!
-
G:\autorun.inf пришлите как карантин.
Драйверы на сетевую карту обновите. Перенастройте сеть. На время перенастройки отключите НОД32.
Paula rhei.
Поддержать проект можно тут
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 26
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\anatoli\\doctorweb\\quarantine\\tmp9135. tmp - Trojan-Ransom.Win32.PornoBlocker.crr ( DrWEB: Trojan.Winlock.2729, BitDefender: Trojan.Generic.5262874, AVAST4: Win32:MalOb-IJ [Cryp] )
- c:\\documents and settings\\anatoli\\doctorweb\\quarantine\\1[1].exe - Trojan-Ransom.Win32.PornoBlocker.crr ( DrWEB: Trojan.Winlock.2729, BitDefender: Trojan.Generic.5262874, AVAST4: Win32:MalOb-IJ [Cryp] )
- c:\\documents and settings\\anatoli\\wuaucldt.exe - Backdoor.Win32.Bifrose.dpgn ( DrWEB: Trojan.DownLoader2.4160, BitDefender: Gen:Variant.Strictor.849, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\drivers\\svngage.exe - Backdoor.Win32.Skill.ar ( DrWEB: Trojan.Click1.30376, BitDefender: Trojan.Generic.5525713, AVAST4: Win32:MalOb-FT [Cryp] )
- c:\\windows\\system32\\wuaucldt.exe - Backdoor.Win32.Bifrose.dpgn ( DrWEB: Trojan.DownLoader2.4160, BitDefender: Gen:Variant.Strictor.849, AVAST4: Win32:Malware-gen )
-