Перейти к содержанию
Правила раздела

Посмотрите,пожалуйста, логи с зараженной машины [ LOG?]

qwect

Автор qwect,
в Помощь в удалении вирусов

 Share Подписчики 0

Рекомендуемые сообщения

qwect

qwect 2

Опубликовано
Опубликовано

Периодически не работает интернет, самопроизвольно отключается звук. Появляется окошко из трея "Your computer is infected"

Нашел в автозагрузке пару червей braviax.exe и hp32_nword.exe

hijackthis.log

virusinfo_syscure.zip

virusinfo_syscheck.zip

Ссылка на сообщение
Поделиться на другие сайты
Falcon

Falcon 169

Опубликовано
Опубликовано

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\System32\drivers\d0a9a036.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Ntfs.sys','');
TerminateProcessByName('c:\windows\system32\hp32_nword.exe');
QuarantineFile('c:\windows\system32\hp32_nword.exe','');
TerminateProcessByName('c:\windows\system32\braviax.exe');
QuarantineFile('c:\windows\system32\braviax.exe','');
DeleteFile('c:\windows\system32\braviax.exe');
DeleteFile('c:\windows\system32\hp32_nword.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','hp32_nword');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','hp32_nword');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

 

Важно!

Файлы ntfs.sys и beep.sys нужно заменить на чистые из дистрибутива:

- Загрузитесь в консоли восстановления

- На приглашение введите строку:

expand X:\i386\ntfs.sy_ C:\WINDOWS\system32\drivers\ntfs.sys

Вместо Х подставьте букву драйва, где лежит дистрибутив.

Переписывание подтвердите.

 

- На приглашение введите строку:

expand X:\i386\beep.sy_ C:\WINDOWS\system32\drivers\beep.sys

Вместо Х подставьте букву драйва, где лежит дистрибутив.

Переписывание подтвердите.

 

- Выйдите из консоли восстановления командой exit + клавиша ВВОД.

- Загрузитесь нормально.

 

Альтернативная замена готовым файлом с аналогичной ОС может быть произведена при загрузке в консо-ли восстановления (см. выше), с Live CD (BartPE, Knoppix etc.) или с установкой диска в другой ПК.

 

Дальнейшее лечение будет эффективным только после выполнения вышенаписанного!

 

Готовьте новые логи AVZ.

 

Дополнительно:

- Скачайте GMER по одной из указанных ссылок:

Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)

- Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).

Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

  • Sections
  • IAT/EAT
  • Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Ссылка на сообщение
Поделиться на другие сайты
qwect

qwect 2

Опубликовано
  • Автор
Опубликовано

Простите, за задержку. Нахожусь с машиной в разных местах.

Заменил ntfs.sys и beep.sys

Вот новые логи

GMER.log

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 468

Опубликовано
Опубликовано

Пофиксить в Hijack

O20 - AppInit_DLLs: cru629.dat

Перезагрузиться

 

Больше ничего плохого не вижу.

 

Установите SP3 (может потребоваться активация) + все новые заплатки

Ссылка на сообщение
Поделиться на другие сайты
qwect

qwect 2

Опубликовано
  • Автор
Опубликовано

Извините, а "фиксация" в Hijack завершается постановкой галочки у причинного места? Или что-то ещё надо сделать?

логNEW.txt

Ссылка на сообщение
Поделиться на другие сайты
  • 1 month later...
qwect

qwect 2

Опубликовано
  • Автор
Опубликовано

Здравствуйте.Снова обращаюсь за помощью.Скорее всего вирус восстановился из файлов "Восстановление системы".Забыл попользоваться клинером после лечения.Логи выложу.

Возможно ли такое?

Ссылка на сообщение
Поделиться на другие сайты
  • 2 weeks later...
qwect

qwect 2

Опубликовано
  • Автор
Опубликовано

Простите за задержку.Вот новые логи.Посмотрите, пожалуйста, на наличие "нечести".

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 0
Перейти к списку тем
×
×
  • Создать...