Ironfist_k Опубликовано 11 августа, 2009 Опубликовано 11 августа, 2009 При загрузке XP на панели задач выскакивает сообщение Your computer is infected! и значок с красным крестом, и соответственно в папке виндовс неубиваемый braviax.exe логи прилагаю помогите пожалуйста virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log
Falcon Опубликовано 11 августа, 2009 Опубликовано 11 августа, 2009 Выполните следующий скрипт В AVZ: begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\Documents and Settings\167\Local Settings\Temp\~DFA74.tmp',''); QuarantineFile('digiwet.dll',''); QuarantineFile('C:\WINDOWS\system32\cru629.dat',''); QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys',''); DeleteService('systemntmi'); QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys',''); DeleteService('securentm'); QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys',''); DeleteService('port135sik'); DeleteService('nicsk32'); QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys',''); DeleteService('netsik'); QuarantineFile('C:\WINDOWS\system32\drivers\ksi32sk.sys',''); DeleteService('ksi32sk'); QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys',''); DeleteService('i386si'); QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys',''); DeleteService('fips32cup'); QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys',''); DeleteService('ati64si'); QuarantineFile('C:\WINDOWS\system32\drivers\amd64si.sys',''); DeleteService('amd64si'); QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys',''); DeleteService('acpi32'); QuarantineFile('C:\WINDOWS\system32\Drivers\Ntfs.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS',''); TerminateProcessByName('c:\windows\braviax.exe'); QuarantineFile('c:\windows\braviax.exe',''); DeleteFile('c:\windows\braviax.exe'); DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys'); DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys'); DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys'); DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys'); DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys'); DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys'); DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys'); DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys'); DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys'); DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys'); DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys'); DeleteFile('C:\WINDOWS\system32\digiwet.dll'); DeleteFile('digiwet.dll'); DeleteFile('C:\WINDOWS\system32\cru629.dat'); DeleteFile('C:\Documents and Settings\167\Local Settings\Temp\~DFA74.tmp'); DeleteFileMask('%Tmp%', '*.*', true); BC_ImportDeletedList; BC_DeleteSvc('systemntmi'); BC_DeleteSvc('securentm'); BC_DeleteSvc('port135sik '); BC_DeleteSvc('nicsk32 '); BC_DeleteSvc('ksi32sk '); BC_DeleteSvc('i386si '); BC_DeleteSvc('ati64si '); BC_DeleteSvc('fips32cup '); ExecuteSysClean; BC_Activate; RebootWindows(true); end. ПК перезагрузится. Пофиксить в HJT: O20 - AppInit_DLLs: cru629.dat Файлы ntfs.sys и beep.sys нужно заменить на чистые из дистрибутива: - Загрузитесь в консоли восстановления - На приглашение введите строку: copy X:\i386\ntfs.sys C:\WINDOWS\system32\drivers\ntfs.sys Вместо Х подставьте букву драйва, где лежит дистрибутив. Переписывание подтвердите. - На приглашение введите строку: expand X:\i386\beep.sy_ C:\WINDOWS\system32\drivers\beep.sys Вместо Х подставьте букву драйва, где лежит дистрибутив. Переписывание подтвердите. - Выйдите из консоли восстановления комадой exit + клавиша ВВОД. - Загрузитесь нормально. Альтернативная замена готовым файлом с аналогичной ОС может быть произведена при загрузке в консоли восстановления (см. выше), с Live CD (BartPE, Knoppix etc.) или с установкой диска в другой ПК. Дальнейшее лечение будет эффективным только после выполнения написанного.
Ironfist_k Опубликовано 12 августа, 2009 Автор Опубликовано 12 августа, 2009 Спасибо. Все сделал. Сообщение пропало. Высылаю новые логи. virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log
Falcon Опубликовано 12 августа, 2009 Опубликовано 12 августа, 2009 Выполните в AVZ: begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('C:\WINDOWS\system32\cru629.dat'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. ПК перезагрузится. Пофиксите: O20 - AppInit_DLLs: cru629.dat Сделайте новый комплект логов.
Ironfist_k Опубликовано 12 августа, 2009 Автор Опубликовано 12 августа, 2009 Сделал. Вот новые логи. virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log
Falcon Опубликовано 12 августа, 2009 Опубликовано 12 августа, 2009 Чисто. Только зачем вы еще на Virusinfo отправились? Дополнительно: Скачайте IceSword Распакуйте в отдельную папку и запустите. Выберите Registry. Найдите все строки, в записи которых встречается %fystemRoot%. Замените в этих строках %fystemRoot% на %systemRoot% P.S. Только определитесь где вам лечиться на VI или тут
Ironfist_k Опубликовано 12 августа, 2009 Автор Опубликовано 12 августа, 2009 Большое человеческое спасибо! да чета кинул сначала и сюды и туды от паники наверное, первый раз такое )) буду сдесь долечиваца, чтобы зря людей не напрягать
Falcon Опубликовано 12 августа, 2009 Опубликовано 12 августа, 2009 Ironfist_k, лучше тогда после выполнения рекомендаций с %fsystemroot% выложите контрольный лог AVZ и тут, и там, чтобы почти в конце лечения люди не подумали, что зря старались А вообще VI - это дружественный нам ресурс, они поймут, такое не раз бывало.
Ironfist_k Опубликовано 12 августа, 2009 Автор Опубликовано 12 августа, 2009 контрольный лог virusinfo_syscheck.zip
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти