qwect Опубликовано 19 сентября, 2009 Поделиться Опубликовано 19 сентября, 2009 Периодически не работает интернет, самопроизвольно отключается звук. Появляется окошко из трея "Your computer is infected" Нашел в автозагрузке пару червей braviax.exe и hp32_nword.exe hijackthis.log virusinfo_syscure.zip virusinfo_syscheck.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
Falcon Опубликовано 19 сентября, 2009 Поделиться Опубликовано 19 сентября, 2009 Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...): begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\System32\drivers\d0a9a036.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Ntfs.sys',''); TerminateProcessByName('c:\windows\system32\hp32_nword.exe'); QuarantineFile('c:\windows\system32\hp32_nword.exe',''); TerminateProcessByName('c:\windows\system32\braviax.exe'); QuarantineFile('c:\windows\system32\braviax.exe',''); DeleteFile('c:\windows\system32\braviax.exe'); DeleteFile('c:\windows\system32\hp32_nword.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','hp32_nword'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','hp32_nword'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Важно! Файлы ntfs.sys и beep.sys нужно заменить на чистые из дистрибутива: - Загрузитесь в консоли восстановления - На приглашение введите строку: expand X:\i386\ntfs.sy_ C:\WINDOWS\system32\drivers\ntfs.sys Вместо Х подставьте букву драйва, где лежит дистрибутив. Переписывание подтвердите. - На приглашение введите строку: expand X:\i386\beep.sy_ C:\WINDOWS\system32\drivers\beep.sys Вместо Х подставьте букву драйва, где лежит дистрибутив. Переписывание подтвердите. - Выйдите из консоли восстановления командой exit + клавиша ВВОД. - Загрузитесь нормально. Альтернативная замена готовым файлом с аналогичной ОС может быть произведена при загрузке в консо-ли восстановления (см. выше), с Live CD (BartPE, Knoppix etc.) или с установкой диска в другой ПК. Дальнейшее лечение будет эффективным только после выполнения вышенаписанного! Готовьте новые логи AVZ. Дополнительно: - Скачайте GMER по одной из указанных ссылок: Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку) - Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши). Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов: Sections IAT/EAT Show all Из всех дисков оставьте отмеченным только системный диск (обычно C:\) - Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Ссылка на комментарий Поделиться на другие сайты Поделиться
qwect Опубликовано 26 сентября, 2009 Автор Поделиться Опубликовано 26 сентября, 2009 Простите, за задержку. Нахожусь с машиной в разных местах. Заменил ntfs.sys и beep.sys Вот новые логи GMER.log hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 26 сентября, 2009 Поделиться Опубликовано 26 сентября, 2009 Пофиксить в Hijack O20 - AppInit_DLLs: cru629.dat Перезагрузиться Больше ничего плохого не вижу. Установите SP3 (может потребоваться активация) + все новые заплатки Ссылка на комментарий Поделиться на другие сайты Поделиться
qwect Опубликовано 28 сентября, 2009 Автор Поделиться Опубликовано 28 сентября, 2009 Извините, а "фиксация" в Hijack завершается постановкой галочки у причинного места? Или что-то ещё надо сделать? логNEW.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
snifer67 Опубликовано 28 сентября, 2009 Поделиться Опубликовано 28 сентября, 2009 Лог чист. Ссылка на комментарий Поделиться на другие сайты Поделиться
qwect Опубликовано 29 сентября, 2009 Автор Поделиться Опубликовано 29 сентября, 2009 Спасибо большое всем за помощь! Ссылка на комментарий Поделиться на другие сайты Поделиться
qwect Опубликовано 4 ноября, 2009 Автор Поделиться Опубликовано 4 ноября, 2009 Здравствуйте.Снова обращаюсь за помощью.Скорее всего вирус восстановился из файлов "Восстановление системы".Забыл попользоваться клинером после лечения.Логи выложу. Возможно ли такое? Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 5 ноября, 2009 Поделиться Опубликовано 5 ноября, 2009 Во время лечения восстановление системы было же отключено. Возможно заражен какой-то съёмный носитель. Ссылка на комментарий Поделиться на другие сайты Поделиться
qwect Опубликовано 17 ноября, 2009 Автор Поделиться Опубликовано 17 ноября, 2009 Простите за задержку.Вот новые логи.Посмотрите, пожалуйста, на наличие "нечести". virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 18 ноября, 2009 Поделиться Опубликовано 18 ноября, 2009 Почему возникло подозрение о повторном заражении системы? Ссылка на комментарий Поделиться на другие сайты Поделиться
qwect Опубликовано 18 ноября, 2009 Автор Поделиться Опубликовано 18 ноября, 2009 Win + r далее msconfig далее вкладка "Автозагрузка" Braviax.exe там. А что с логами? Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 18 ноября, 2009 Поделиться Опубликовано 18 ноября, 2009 Хм, в логах не видно его. В АВЗ--AVZPM--Установить драйвер расширенного мониторинга процессов и повторите логи. Ссылка на комментарий Поделиться на другие сайты Поделиться
qwect Опубликовано 19 ноября, 2009 Автор Поделиться Опубликовано 19 ноября, 2009 Логи новые, но кажется я начал понимать virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Ссылка на комментарий Поделиться на другие сайты Поделиться
snifer67 Опубликовано 19 ноября, 2009 Поделиться Опубликовано 19 ноября, 2009 Выполните скрипт в avz begin ExecuteWizard('TSW',2,2,true); RebootWindows(true); end. ПК перезагрузится. Сделаете новый лог virusinfo_syscheck Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти