AndreyH 1 Опубликовано 8 февраля, 2011 Share Опубликовано 8 февраля, 2011 Доброго времени суток! В несамое хорошее утро монитор антивируса сообщил о вирусе с:\windows\file.bat . После его удаления в безопасном режиме перестал работать Инет. Диспетчер устройств в разделе сетевые платы показывает их с восклицательным знаком. Журнал событий в разделе Система пестрит сообщениями о невозможности запустить службы сети. Прошу помощь в решении данной ситуации. Прилагаю файлы логов, текстовый файл с ошибками журнала событий и скриншот окна диспетчера устройств. службы.txt virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 8 февраля, 2011 Share Опубликовано 8 февраля, 2011 Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; TerminateProcessByName('c:\program files\adobs\msats.exe'); StopService('RTLE8023xp'); StopService('gdrv'); StopService('Log Events'); QuarantineFile('C:\WINDOWS\system32\ntkrnlpa.exe',''); QuarantineFile('C:\WINDOWS\system32\msxslt3.exe',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\Rtenicxp.sys',''); QuarantineFile('C:\WINDOWS\gdrv.sys',''); QuarantineFile('C:\Temp\sfa*.dll',''); QuarantineFile('c:\program files\common files\akamai\netsession_win_dbc0250.dll',''); QuarantineFile('c:\program files\adobs\msats.exe',''); DeleteFile('C:\WINDOWS\system32\msxslt3.exe'); DelCLSID('YDS shell extension'); DelCLSID('5E2121EE-0300-11D4-8D3B-444553540000'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MsXSLT'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000); BC_ImportAll; ExecuteSysClean; BC_DeleteFile('C:\WINDOWS\system32\msxslt3.exe'); BC_Activate; ExecuteWizard('TSW', 3, 3, true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.net O4 - HKLM\..\Run: [MsXSLT] C:\WINDOWS\system32\msxslt3.exe O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - (no file) проверьте системный раздел скандиском. пуск-выполнить-chkdsk C: /v /f /r /x нажать Y перезагрузиться. подождать. проверьте целостность системы (может потребоваться диск с Windows) пуск-выполнить-sfc /scannow Скачайте Malwarebytes' Anti-Malware здесь или здесь. Установите mbam-setup.exe Обновите базы. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно (загрузить обновление MBAM). Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты". Полученный лог прикрепите к сообщению. Скачайте ComboFix здесь, здесь, и сохраните на рабочий стол. 1.Внимание!Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Сделайте новые логи по правилам. Цитата Ссылка на сообщение Поделиться на другие сайты
AndreyH 1 Опубликовано 9 февраля, 2011 Автор Share Опубликовано 9 февраля, 2011 Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): Сделал. Отправьте на проверку файл Quarantine.zip Отправил. Пока ответ от робота: bcqr00001.dat, bcqr00002.dat, sfamcc00001.dll, sfareca00001.dll Вредоносный код в файлах не обнаружен. bcqr00005.dat, bcqr00006.dat, bcqr00011.dat, bcqr00012.dat, bcqr00013.dat, bcqr00014.dat, msats.exe, msxslt3.exe, netsession_win_dbc0250.dll, Rtenicxp.sys Файлы в процессе обработки. . Пофиксите в HijackThis Сделано. Одной строки не было. проверьте системный раздел скандиском Всё ОК. проверьте целостность системы Не получилось - закинул в %windir%\system32\drivers файлы afd.sys, ipspec.sys (с заменой) и ndis.sys (на всяк случай) - сетевая карта и службы заработали. Есть ошибка в журнале, связанная с видеодрайверами - завтра их просто удалю и поставлю заново. Malwarebytes' Anti-Malware Лог ниже. ComboFix Лог ниже. Сделайте новые логи по правилам. Логи ниже. mbam_log_2011_02_09__15_24_35_.txt ComboFix.txt virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 9 февраля, 2011 Share Опубликовано 9 февраля, 2011 лихо! вот это можно было не удалять в MBAM HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. c:\program files\TeraSMS сами ставили? c:\windows\system32\drivers\Rtenicxp.sys c:\program files\PremiereElements_9_LS15.exe проверьте на virustotal.com 2 ссылки на результаты анализа запостите. AVZ - Файл - Мастер поиска и устранения проблем - системные проблемы - все проблем - поиск - исправить. Цитата Ссылка на сообщение Поделиться на другие сайты
AndreyH 1 Опубликовано 12 февраля, 2011 Автор Share Опубликовано 12 февраля, 2011 Операции и результаты напишу в понедельник, т.к. я в отъезде... Цитата Ссылка на сообщение Поделиться на другие сайты
AndreyH 1 Опубликовано 16 февраля, 2011 Автор Share Опубликовано 16 февраля, 2011 Поставил на ОС актуальные обновления. Переставил драйвера на сетевую и подчистил систему. Логи AVZ и Hijackthis virusinfo_syscheck.zip hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 16 февраля, 2011 Share Опубликовано 16 февраля, 2011 Деинсталлируйте MBAM. Деинсталлируйте ComboFix: - нажмите Пуск|Start - Выполнить|Run - в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК" Скачайте OTCleanIt, запустите, нажмите Clean up Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.