qwect Опубликовано 19 сентября, 2009 Опубликовано 19 сентября, 2009 Периодически не работает интернет, самопроизвольно отключается звук. Появляется окошко из трея "Your computer is infected" Нашел в автозагрузке пару червей braviax.exe и hp32_nword.exe hijackthis.log virusinfo_syscure.zip virusinfo_syscheck.zip
Falcon Опубликовано 19 сентября, 2009 Опубликовано 19 сентября, 2009 Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...): begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\System32\drivers\d0a9a036.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Ntfs.sys',''); TerminateProcessByName('c:\windows\system32\hp32_nword.exe'); QuarantineFile('c:\windows\system32\hp32_nword.exe',''); TerminateProcessByName('c:\windows\system32\braviax.exe'); QuarantineFile('c:\windows\system32\braviax.exe',''); DeleteFile('c:\windows\system32\braviax.exe'); DeleteFile('c:\windows\system32\hp32_nword.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','hp32_nword'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','hp32_nword'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Важно! Файлы ntfs.sys и beep.sys нужно заменить на чистые из дистрибутива: - Загрузитесь в консоли восстановления - На приглашение введите строку: expand X:\i386\ntfs.sy_ C:\WINDOWS\system32\drivers\ntfs.sys Вместо Х подставьте букву драйва, где лежит дистрибутив. Переписывание подтвердите. - На приглашение введите строку: expand X:\i386\beep.sy_ C:\WINDOWS\system32\drivers\beep.sys Вместо Х подставьте букву драйва, где лежит дистрибутив. Переписывание подтвердите. - Выйдите из консоли восстановления командой exit + клавиша ВВОД. - Загрузитесь нормально. Альтернативная замена готовым файлом с аналогичной ОС может быть произведена при загрузке в консо-ли восстановления (см. выше), с Live CD (BartPE, Knoppix etc.) или с установкой диска в другой ПК. Дальнейшее лечение будет эффективным только после выполнения вышенаписанного! Готовьте новые логи AVZ. Дополнительно: - Скачайте GMER по одной из указанных ссылок: Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку) - Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши). Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов: Sections IAT/EAT Show all Из всех дисков оставьте отмеченным только системный диск (обычно C:\) - Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
qwect Опубликовано 26 сентября, 2009 Автор Опубликовано 26 сентября, 2009 Простите, за задержку. Нахожусь с машиной в разных местах. Заменил ntfs.sys и beep.sys Вот новые логи GMER.log hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip
thyrex Опубликовано 26 сентября, 2009 Опубликовано 26 сентября, 2009 Пофиксить в Hijack O20 - AppInit_DLLs: cru629.dat Перезагрузиться Больше ничего плохого не вижу. Установите SP3 (может потребоваться активация) + все новые заплатки
qwect Опубликовано 28 сентября, 2009 Автор Опубликовано 28 сентября, 2009 Извините, а "фиксация" в Hijack завершается постановкой галочки у причинного места? Или что-то ещё надо сделать? логNEW.txt
qwect Опубликовано 29 сентября, 2009 Автор Опубликовано 29 сентября, 2009 Спасибо большое всем за помощь!
qwect Опубликовано 4 ноября, 2009 Автор Опубликовано 4 ноября, 2009 Здравствуйте.Снова обращаюсь за помощью.Скорее всего вирус восстановился из файлов "Восстановление системы".Забыл попользоваться клинером после лечения.Логи выложу. Возможно ли такое?
ТроПа Опубликовано 5 ноября, 2009 Опубликовано 5 ноября, 2009 Во время лечения восстановление системы было же отключено. Возможно заражен какой-то съёмный носитель.
qwect Опубликовано 17 ноября, 2009 Автор Опубликовано 17 ноября, 2009 Простите за задержку.Вот новые логи.Посмотрите, пожалуйста, на наличие "нечести". virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log
ТроПа Опубликовано 18 ноября, 2009 Опубликовано 18 ноября, 2009 Почему возникло подозрение о повторном заражении системы?
qwect Опубликовано 18 ноября, 2009 Автор Опубликовано 18 ноября, 2009 Win + r далее msconfig далее вкладка "Автозагрузка" Braviax.exe там. А что с логами?
ТроПа Опубликовано 18 ноября, 2009 Опубликовано 18 ноября, 2009 Хм, в логах не видно его. В АВЗ--AVZPM--Установить драйвер расширенного мониторинга процессов и повторите логи.
qwect Опубликовано 19 ноября, 2009 Автор Опубликовано 19 ноября, 2009 Логи новые, но кажется я начал понимать virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log
snifer67 Опубликовано 19 ноября, 2009 Опубликовано 19 ноября, 2009 Выполните скрипт в avz begin ExecuteWizard('TSW',2,2,true); RebootWindows(true); end. ПК перезагрузится. Сделаете новый лог virusinfo_syscheck
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти