Перейти к содержанию
Правила раздела

[Лог!] Подозрение на недолеченный вирус

sdf

Автор sdf
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

sdf

sdf

Опубликовано
Опубликовано (изменено)

Вечер добрый.

Последние пару дней замечал за ноутбуком странное поведение, то как блокировка диспетчера задач, исходящие подключения на 192.168.0.1-255 на 455 порт и KIS7 при попытке обновления выдает что сервера обновлений не доступны, хотя пинг идет по всем направлениям.

Сейчас все тихо, но KIS временами ругается на С:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\SYSTMON.EXE (Win32.DsBot.vd) и тому подобное...

Прилагаю логи.

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.zip

 

post-7680-1230323505_thumb.jpg

post-7680-1230323521_thumb.jpg

 

hijackthis.log загружаться не хочет;(

могу скопипастить сюда, текстом.

Изменено пользователем sdf
Kapral

Kapral

Опубликовано
Опубликовано

Подождите , когда прийдут люди, которые специализируются на лечении компов

C. Tantin

C. Tantin

Опубликовано
Опубликовано

По логам могу сказать, что отключен регедит и таскмгр, "живёт" адварь (C:\PROGRA~1\FieryAds\). А ещё зловред "живёт" в корзине и файл автозапуска его в корне диска D:. Ждём хэлперов со скриптом...

akoK

akoK

Опубликовано
Опубликовано (изменено)

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('D:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\SYSTMON.EXE','');
QuarantineFile('C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\WN2PETQZ\c123[1].exe','');
QuarantineFile('C:\9j6n1v4y8n8.exe','');
QuarantineFile('C:\windows\system32\webcheck.dll','');
QuarantineFile('D:\dist\asus eeepc\eeectl_0.2.3\eeectl.exe','');
QuarantineFile('C:\windows\system32\sti_ci.dll','');
QuarantineFile('C:\windows\system32\shell32.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\dciiodrv.sys','');
DeleteFile('C:\PROGRA~1\FieryAds\FieryAds.dll');
DeleteFile('C:\9j6n1v4y8n8.exe');
DeleteFile('C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\WN2PETQZ\c123[1].exe');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\SYSTMON.EXE');
DeleteFile('E:\autorun.inf');
DeleteFile('E:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\SYSTMON.EXE');
DelBHO('{CF272101-7F6E-4CF2-9453-B4C5D2FC32C0}');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
BC_ImportALL;
ExecuteRepair(6);
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

 

Пофиксить в HijackThis следующие строчки

 O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

 

Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

 

Логи повторите.

Изменено пользователем akoK
ТроПа

ТроПа

Опубликовано
Опубликовано

Заметил в логах, что включёно восстановление системы, отключите, что бы удалить созданные ранее, а потом включите и создасться новая, без вирусов.

Проблемы ещё наблюдаются?

sdf

sdf

Опубликовано
  • Автор
Опубликовано
Заметил в логах, что включёно восстановление системы, отключите, что бы удалить созданные ранее, а потом включите и создасться новая, без вирусов.

Проблемы ещё наблюдаются?

Проблема не наблюдается...KIS7 молчит, трафик на лево не идет, регедит и таскмгр работает...

 

Но, я не могу отключить восстановление системы. в Свойствах компьютера просто нет такой вкладки "Восстановление системы".

Скажите, пожалуйста, как отключить другим способом)через другое место)

akoK

akoK

Опубликовано
Опубликовано

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ExecuteRepair(6);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

sdf

sdf

Опубликовано
  • Автор
Опубликовано (изменено)
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ExecuteRepair(6);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

что сделает этот скрипт?

 

точее уже сделал)

Изменено пользователем sdf
_Ruslan_

_Ruslan_

Опубликовано
Опубликовано

судя по фукнции, она преврящает переменную RebootWindows в значение true т.е. это пита аналог тому, что ты просто отключаешь (ставишь галочку) в Восстановление системы в свойствах Мой компьютер на отключить восстановление системы))

 

прикольно конечно скриптами пользоватся, только запара это.. Что бы с этим не мучатся и создали Windows))

sdf

sdf

Опубликовано
  • Автор
Опубликовано
судя по фукнции, она преврящает переменную RebootWindows в значение true т.е. это пита аналог тому, что ты просто отключаешь (ставишь галочку) в Восстановление системы в свойствах Мой компьютер на отключить восстановление системы))

 

прикольно конечно скриптами пользоватся, только запара это.. Что бы с этим не мучатся и создали Windows))

судя по ЭкзекутеРепаир - выполнить восстановление) а уже потом отправить комп в ребут.имхо)

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...