Dmitry D. Опубликовано 10 сентября, 2008 Поделиться Опубликовано 10 сентября, 2008 (изменено) Доброго времени суток. Долго объяснять не буду: 1. Не запускается KIS 7 2. Объявление Your computer is infected от XP security Center 3. buritos.exe в процессах Логи внизу. Помогите кто чем может. Заранее благодарю. P.S. Win XP SP2 virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.rar Изменено 10 сентября, 2008 пользователем Dmitry D. Ссылка на комментарий Поделиться на другие сайты Поделиться
Falcon Опубликовано 10 сентября, 2008 Поделиться Опубликовано 10 сентября, 2008 (изменено) Добро пожаловать на форум! Мы обязательно постараемся вам помочь. Угроза такова: c:\windows\system32\buritos.exe - само чудо, C:\WINDOWS\system32\WinCtrl32.dll - еще одна "красота", C:\WINDOWS\System32\Drivers\Beep.SYS - возможно подмена, но не факт, svchost.exe работает с 25 портом, что тоже подозрительно. C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\C2806KC6\Install[2].exe, C:\WINDOWS\system32\winivstr.exe - это сам Секурити Центр, И еще много чего в логе HJT пофиксить. Подождем кого-то из спецов, они вам помогут) Изменено 10 сентября, 2008 пользователем Falcon Ссылка на комментарий Поделиться на другие сайты Поделиться
Гриша Опубликовано 10 сентября, 2008 Поделиться Опубликовано 10 сентября, 2008 Отключите антивирус и интернет! Скачать,меню,File,появится аналог проводника,найти: C:\WINDOWS\system32\WinCtrl32.dll C:\WINDOWS\system32\Drivers\Winxc61.sys C:\WINDOWS\System32\Drivers\Beep.SYS правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\C2806KC6\Install[2].exe',''); QuarantineFile('C:\WINDOWS\system32\winivstr.exe',''); QuarantineFile('C:\WINDOWS\system32\karina.dat',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Winxc61.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS',''); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); QuarantineFile('c:\windows\system32\buritos.exe',''); TerminateProcessByName('c:\windows\system32\buritos.exe'); DeleteService('Winxc61'); DeleteService('Beep'); DeleteFile('c:\windows\system32\buritos.exe'); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS'); DeleteFile('C:\WINDOWS\system32\Drivers\Winxc61.sys'); DeleteFile('C:\WINDOWS\system32\karina.dat'); DeleteFile('C:\WINDOWS\system32\winivstr.exe'); DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\C2806KC6\Install[2].exe'); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('Winxc61'); BC_DeleteSvc('Beep'); BC_Activate; CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); RebootWindows(true); end. Полученный архив отправьте на newvirus@kaspersky.com не забыв указать пароль(virus).Ответ сообщите. Логи повторить. Ссылка на комментарий Поделиться на другие сайты Поделиться
Dmitry D. Опубликовано 10 сентября, 2008 Автор Поделиться Опубликовано 10 сентября, 2008 (изменено) KIS ожил.. обновился - начал хрюкать.. Сообщение от Security центра ещё появляется Ответа на e-mail пока нет Логи: hijackthis.rar virusinfo_syscheck.zip virusinfo_syscure.zip Изменено 10 сентября, 2008 пользователем Dmitry D. Ссылка на комментарий Поделиться на другие сайты Поделиться
Гриша Опубликовано 10 сентября, 2008 Поделиться Опубликовано 10 сентября, 2008 Очистите временные файлы,кеш браузера. Пофиксить O4 - HKLM\..\Run: [buritos] buritos.exe O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing) AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\buritos.exe'); DeleteFile('c:\windows\buritos.exe'); DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\FUL7SKS2\Install[1].exe'); DeleteFile('C:\WINDOWS\system32\winivstr.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Повторите логи... P.S. заморозку не хорошо юзать Ссылка на комментарий Поделиться на другие сайты Поделиться
Dmitry D. Опубликовано 10 сентября, 2008 Автор Поделиться Опубликовано 10 сентября, 2008 Гриша Операция прошла успешно... Спасибо большое. Процесс буритос пропал... каспер воскрес... из трея объява пропала. Спасибо за образцовую оперативность. P.S. Ни о какой заморозке ничё не знаю.. или это вы про лёд для Махито?! Ссылка на комментарий Поделиться на другие сайты Поделиться
Kapral Опубликовано 10 сентября, 2008 Поделиться Опубликовано 10 сентября, 2008 Логи лучше повторить Ссылка на комментарий Поделиться на другие сайты Поделиться
Гриша Опубликовано 10 сентября, 2008 Поделиться Опубликовано 10 сентября, 2008 Меня не обманешь ice_time.dll Ссылка на комментарий Поделиться на другие сайты Поделиться
Dmitry D. Опубликовано 10 сентября, 2008 Автор Поделиться Опубликовано 10 сентября, 2008 ice_time это типа как Джим Кэри в Маске кричал SHOW TIME! ? Последние логи: virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.rar Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти