qwect 2 Опубликовано 19 сентября, 2009 Share Опубликовано 19 сентября, 2009 Периодически не работает интернет, самопроизвольно отключается звук. Появляется окошко из трея "Your computer is infected" Нашел в автозагрузке пару червей braviax.exe и hp32_nword.exe hijackthis.log virusinfo_syscure.zip virusinfo_syscheck.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Falcon 169 Опубликовано 19 сентября, 2009 Share Опубликовано 19 сентября, 2009 Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...): begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\System32\drivers\d0a9a036.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Ntfs.sys',''); TerminateProcessByName('c:\windows\system32\hp32_nword.exe'); QuarantineFile('c:\windows\system32\hp32_nword.exe',''); TerminateProcessByName('c:\windows\system32\braviax.exe'); QuarantineFile('c:\windows\system32\braviax.exe',''); DeleteFile('c:\windows\system32\braviax.exe'); DeleteFile('c:\windows\system32\hp32_nword.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','hp32_nword'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','hp32_nword'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Важно! Файлы ntfs.sys и beep.sys нужно заменить на чистые из дистрибутива: - Загрузитесь в консоли восстановления - На приглашение введите строку: expand X:\i386\ntfs.sy_ C:\WINDOWS\system32\drivers\ntfs.sys Вместо Х подставьте букву драйва, где лежит дистрибутив. Переписывание подтвердите. - На приглашение введите строку: expand X:\i386\beep.sy_ C:\WINDOWS\system32\drivers\beep.sys Вместо Х подставьте букву драйва, где лежит дистрибутив. Переписывание подтвердите. - Выйдите из консоли восстановления командой exit + клавиша ВВОД. - Загрузитесь нормально. Альтернативная замена готовым файлом с аналогичной ОС может быть произведена при загрузке в консо-ли восстановления (см. выше), с Live CD (BartPE, Knoppix etc.) или с установкой диска в другой ПК. Дальнейшее лечение будет эффективным только после выполнения вышенаписанного! Готовьте новые логи AVZ. Дополнительно: - Скачайте GMER по одной из указанных ссылок: Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку) - Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши). Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов: Sections IAT/EAT Show all Из всех дисков оставьте отмеченным только системный диск (обычно C:\) - Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Цитата Ссылка на сообщение Поделиться на другие сайты
qwect 2 Опубликовано 26 сентября, 2009 Автор Share Опубликовано 26 сентября, 2009 Простите, за задержку. Нахожусь с машиной в разных местах. Заменил ntfs.sys и beep.sys Вот новые логи GMER.log hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 26 сентября, 2009 Share Опубликовано 26 сентября, 2009 Пофиксить в Hijack O20 - AppInit_DLLs: cru629.dat Перезагрузиться Больше ничего плохого не вижу. Установите SP3 (может потребоваться активация) + все новые заплатки Цитата Ссылка на сообщение Поделиться на другие сайты
qwect 2 Опубликовано 28 сентября, 2009 Автор Share Опубликовано 28 сентября, 2009 Извините, а "фиксация" в Hijack завершается постановкой галочки у причинного места? Или что-то ещё надо сделать? логNEW.txt Цитата Ссылка на сообщение Поделиться на другие сайты
snifer67 120 Опубликовано 28 сентября, 2009 Share Опубликовано 28 сентября, 2009 Лог чист. Цитата Ссылка на сообщение Поделиться на другие сайты
qwect 2 Опубликовано 29 сентября, 2009 Автор Share Опубликовано 29 сентября, 2009 Спасибо большое всем за помощь! Цитата Ссылка на сообщение Поделиться на другие сайты
qwect 2 Опубликовано 4 ноября, 2009 Автор Share Опубликовано 4 ноября, 2009 Здравствуйте.Снова обращаюсь за помощью.Скорее всего вирус восстановился из файлов "Восстановление системы".Забыл попользоваться клинером после лечения.Логи выложу. Возможно ли такое? Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 5 ноября, 2009 Share Опубликовано 5 ноября, 2009 Во время лечения восстановление системы было же отключено. Возможно заражен какой-то съёмный носитель. Цитата Ссылка на сообщение Поделиться на другие сайты
qwect 2 Опубликовано 17 ноября, 2009 Автор Share Опубликовано 17 ноября, 2009 Простите за задержку.Вот новые логи.Посмотрите, пожалуйста, на наличие "нечести". virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 18 ноября, 2009 Share Опубликовано 18 ноября, 2009 Почему возникло подозрение о повторном заражении системы? Цитата Ссылка на сообщение Поделиться на другие сайты
qwect 2 Опубликовано 18 ноября, 2009 Автор Share Опубликовано 18 ноября, 2009 Win + r далее msconfig далее вкладка "Автозагрузка" Braviax.exe там. А что с логами? Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 18 ноября, 2009 Share Опубликовано 18 ноября, 2009 Хм, в логах не видно его. В АВЗ--AVZPM--Установить драйвер расширенного мониторинга процессов и повторите логи. Цитата Ссылка на сообщение Поделиться на другие сайты
qwect 2 Опубликовано 19 ноября, 2009 Автор Share Опубликовано 19 ноября, 2009 Логи новые, но кажется я начал понимать virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
snifer67 120 Опубликовано 19 ноября, 2009 Share Опубликовано 19 ноября, 2009 Выполните скрипт в avz begin ExecuteWizard('TSW',2,2,true); RebootWindows(true); end. ПК перезагрузится. Сделаете новый лог virusinfo_syscheck Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.