Перейти к содержанию
Правила раздела

Я под огнём, нужна поддержка!

B1ohazarD

Автор B1ohazarD
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

B1ohazarD

B1ohazarD

Опубликовано
Опубликовано

Вообщем дело такое...

Оставил на ночь обновление Lineage, с офф сервера

Утром проверял - всё было хорошо.

Пришел из школы, компьютер оказывается перезагрузился.

Ну я ввел пароль на администратора, он почти 10 секунд загружался ( обычно секунду, не больше ).

И что я увидел?

Рабочего стола не было!Открыл диспетчер, запустил explorer.exe, он открыл Проводник.

В процессе иследования "Да что это такое блин" увидел, что Диск D почему то стал съемным, и не запускался двойным щелчком, писал ошибку "Не найдем файл md.exe".

Вообщем, ужас.

Я не знаю что делать.

Может как то восстановить систему?Если да, то как это сделать без Пуска и Панели Управления?

Логи прилагаю. :)

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

snifer67

snifer67

Опубликовано
Опубликовано

Пофиксить в HijackThis

F2 - REG:system.ini: Shell=%SystemRoot%\system32\user32.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,

ПК перезагрузите.

 

 

Выполните скрипт в avz

begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('%SystemRoot%\system32\user32.exe','');
DeleteFile('%SystemRoot%\system32\user32.exe');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('D:\autorun.inf');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com,в письме укажите пароль на архив virus. Полученный ответ сообщите здесь.

 

Сделайте новые логи.

B1ohazarD

B1ohazarD

Опубликовано
  • Автор
Опубликовано

MD5: 448a26937b65e4a1a1a7d5194a66edd2

First received: 2007.01.22 20:24:21 UTC

Дата: 2009.08.10 21:04:50 UTC [>165D]

Результаты: 1/41

Permalink: analisis/b4e37ce1ef7efcee5086091d861dfb40772b2259bc0aef026134d0459d4d1cf8-1249938290

B1ohazarD

B1ohazarD

Опубликовано
  • Автор
Опубликовано (изменено)

Еще раз спасибо.

А можно узнать, что это было?

Изменено пользователем B1ohazarD
snifer67

snifer67

Опубликовано
Опубликовано
А можно узнать, что это было?

c:\windows\system32\sdra64.exe - Trojan-Spy.Win32.Zbot

c:\windows\system32\user32.exe - Trojan-Ransom.Win32.SMSer

Предположительно...

B1ohazarD

B1ohazarD

Опубликовано
  • Автор
Опубликовано
c:\windows\system32\sdra64.exe - Trojan-Spy.Win32.Zbot

c:\windows\system32\user32.exe - Trojan-Ransom.Win32.SMSer

Предположительно...

 

Странно...И ни один не обнаружен...Ни одним антивирусом...

vit9696

vit9696

Опубликовано
Опубликовано

Да, ничего странного, все пропускают понемногу...

B1ohazarD

B1ohazarD

Опубликовано
  • Автор
Опубликовано (изменено)

Пришел ответ от Касперских.

"Вредоносный код в файле не обнаружен".

Еще раз всем спасибо, тему можно closed.

Изменено пользователем B1ohazarD

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...