Посмотрите,пожалуйста, логи с зараженной машины [ LOG?]

[qwect]

Периодически не работает интернет, самопроизвольно отключается звук. Появляется окошко из трея "Your computer is infected"

Нашел в автозагрузке пару червей braviax.exe и hp32_nword.exe

hijackthis.log

virusinfo_syscure.zip

virusinfo_syscheck.zip

[Falcon]

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\System32\drivers\d0a9a036.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Ntfs.sys','');
TerminateProcessByName('c:\windows\system32\hp32_nword.exe');
QuarantineFile('c:\windows\system32\hp32_nword.exe','');
TerminateProcessByName('c:\windows\system32\braviax.exe');
QuarantineFile('c:\windows\system32\braviax.exe','');
DeleteFile('c:\windows\system32\braviax.exe');
DeleteFile('c:\windows\system32\hp32_nword.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','hp32_nword');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','hp32_nword');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

 

Важно!

Файлы ntfs.sys и beep.sys нужно заменить на чистые из дистрибутива:

- Загрузитесь в консоли восстановления

- На приглашение введите строку:

expand X:\i386\ntfs.sy_ C:\WINDOWS\system32\drivers\ntfs.sys

Вместо Х подставьте букву драйва, где лежит дистрибутив.

Переписывание подтвердите.

 

- На приглашение введите строку:

expand X:\i386\beep.sy_ C:\WINDOWS\system32\drivers\beep.sys

Вместо Х подставьте букву драйва, где лежит дистрибутив.

Переписывание подтвердите.

 

- Выйдите из консоли восстановления командой exit + клавиша ВВОД.

- Загрузитесь нормально.

 

Альтернативная замена готовым файлом с аналогичной ОС может быть произведена при загрузке в консо-ли восстановления (см. выше), с Live CD (BartPE, Knoppix etc.) или с установкой диска в другой ПК.

 

Дальнейшее лечение будет эффективным только после выполнения вышенаписанного!

 

Готовьте новые логи AVZ.

 

Дополнительно:

- Скачайте GMER по одной из указанных ссылок:

Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)

- Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).

Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
  
• IAT/EAT
  
• Show all
  

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

[qwect]

Простите, за задержку. Нахожусь с машиной в разных местах.

Заменил ntfs.sys и beep.sys

Вот новые логи

GMER.log

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[thyrex]

Пофиксить в Hijack

O20 - AppInit_DLLs: cru629.dat

Перезагрузиться

 

Больше ничего плохого не вижу.

 

Установите SP3 (может потребоваться активация) + все новые заплатки

[qwect]

Извините, а "фиксация" в Hijack завершается постановкой галочки у причинного места? Или что-то ещё надо сделать?

логNEW.txt

[snifer67]

Лог чист.

[qwect]

Спасибо большое всем за помощь!

[qwect]

Здравствуйте.Снова обращаюсь за помощью.Скорее всего вирус восстановился из файлов "Восстановление системы".Забыл попользоваться клинером после лечения.Логи выложу.

Возможно ли такое?

[ТроПа]

Во время лечения восстановление системы было же отключено. Возможно заражен какой-то съёмный носитель.

[qwect]

Простите за задержку.Вот новые логи.Посмотрите, пожалуйста, на наличие "нечести".

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

[ТроПа]

Почему возникло подозрение о повторном заражении системы?

[qwect]

Win + r далее msconfig далее вкладка "Автозагрузка" Braviax.exe там.

 

А что с логами?

[ТроПа]

Хм, в логах не видно его.

В АВЗ--AVZPM--Установить драйвер расширенного мониторинга процессов и повторите логи.

[qwect]

Логи новые, но кажется я начал понимать

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

[snifer67]

Выполните скрипт в avz

begin
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.

ПК перезагрузится.

 

Сделаете новый лог virusinfo_syscheck