Dmitry D. 0 Опубликовано 10 сентября, 2008 Share Опубликовано 10 сентября, 2008 (изменено) Доброго времени суток. Долго объяснять не буду: 1. Не запускается KIS 7 2. Объявление Your computer is infected от XP security Center 3. buritos.exe в процессах Логи внизу. Помогите кто чем может. Заранее благодарю. P.S. Win XP SP2 virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.rar Изменено 10 сентября, 2008 пользователем Dmitry D. Цитата Ссылка на сообщение Поделиться на другие сайты
Falcon 169 Опубликовано 10 сентября, 2008 Share Опубликовано 10 сентября, 2008 (изменено) Добро пожаловать на форум! Мы обязательно постараемся вам помочь. Угроза такова: c:\windows\system32\buritos.exe - само чудо, C:\WINDOWS\system32\WinCtrl32.dll - еще одна "красота", C:\WINDOWS\System32\Drivers\Beep.SYS - возможно подмена, но не факт, svchost.exe работает с 25 портом, что тоже подозрительно. C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\C2806KC6\Install[2].exe, C:\WINDOWS\system32\winivstr.exe - это сам Секурити Центр, И еще много чего в логе HJT пофиксить. Подождем кого-то из спецов, они вам помогут) Изменено 10 сентября, 2008 пользователем Falcon Цитата Ссылка на сообщение Поделиться на другие сайты
Гриша 24 Опубликовано 10 сентября, 2008 Share Опубликовано 10 сентября, 2008 Отключите антивирус и интернет! Скачать,меню,File,появится аналог проводника,найти: C:\WINDOWS\system32\WinCtrl32.dll C:\WINDOWS\system32\Drivers\Winxc61.sys C:\WINDOWS\System32\Drivers\Beep.SYS правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\C2806KC6\Install[2].exe',''); QuarantineFile('C:\WINDOWS\system32\winivstr.exe',''); QuarantineFile('C:\WINDOWS\system32\karina.dat',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Winxc61.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS',''); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); QuarantineFile('c:\windows\system32\buritos.exe',''); TerminateProcessByName('c:\windows\system32\buritos.exe'); DeleteService('Winxc61'); DeleteService('Beep'); DeleteFile('c:\windows\system32\buritos.exe'); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS'); DeleteFile('C:\WINDOWS\system32\Drivers\Winxc61.sys'); DeleteFile('C:\WINDOWS\system32\karina.dat'); DeleteFile('C:\WINDOWS\system32\winivstr.exe'); DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\C2806KC6\Install[2].exe'); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('Winxc61'); BC_DeleteSvc('Beep'); BC_Activate; CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); RebootWindows(true); end. Полученный архив отправьте на newvirus@kaspersky.com не забыв указать пароль(virus).Ответ сообщите. Логи повторить. Цитата Ссылка на сообщение Поделиться на другие сайты
Dmitry D. 0 Опубликовано 10 сентября, 2008 Автор Share Опубликовано 10 сентября, 2008 (изменено) KIS ожил.. обновился - начал хрюкать.. Сообщение от Security центра ещё появляется Ответа на e-mail пока нет Логи: hijackthis.rar virusinfo_syscheck.zip virusinfo_syscure.zip Изменено 10 сентября, 2008 пользователем Dmitry D. Цитата Ссылка на сообщение Поделиться на другие сайты
Гриша 24 Опубликовано 10 сентября, 2008 Share Опубликовано 10 сентября, 2008 Очистите временные файлы,кеш браузера. Пофиксить O4 - HKLM\..\Run: [buritos] buritos.exe O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing) AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\buritos.exe'); DeleteFile('c:\windows\buritos.exe'); DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\FUL7SKS2\Install[1].exe'); DeleteFile('C:\WINDOWS\system32\winivstr.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Повторите логи... P.S. заморозку не хорошо юзать Цитата Ссылка на сообщение Поделиться на другие сайты
Dmitry D. 0 Опубликовано 10 сентября, 2008 Автор Share Опубликовано 10 сентября, 2008 Гриша Операция прошла успешно... Спасибо большое. Процесс буритос пропал... каспер воскрес... из трея объява пропала. Спасибо за образцовую оперативность. P.S. Ни о какой заморозке ничё не знаю.. или это вы про лёд для Махито?! Цитата Ссылка на сообщение Поделиться на другие сайты
Kapral 1 488 Опубликовано 10 сентября, 2008 Share Опубликовано 10 сентября, 2008 Логи лучше повторить Цитата Ссылка на сообщение Поделиться на другие сайты
Гриша 24 Опубликовано 10 сентября, 2008 Share Опубликовано 10 сентября, 2008 Меня не обманешь ice_time.dll Цитата Ссылка на сообщение Поделиться на другие сайты
Dmitry D. 0 Опубликовано 10 сентября, 2008 Автор Share Опубликовано 10 сентября, 2008 ice_time это типа как Джим Кэри в Маске кричал SHOW TIME! ? Последние логи: virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.rar Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.