Перейти к содержанию
Правила раздела

Вирус кушает трафик [LOG!]

Roman Nikolaev

От Roman Nikolaev
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Roman Nikolaev Новичок

Roman Nikolaev

Опубликовано
Опубликовано

На одном из компов в компанни где я работаю появились симптомы заражения. Вирус кушает трафик. Вызывает сбои в загрузки системы. Определить вирус не удалось. Буду признателен, если вы поможете мне еще раз. Вот логи:

 

Извините, ответа ждать?

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано (изменено)

Выполните скрипт в AVZ

 begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mmbank.exe','');
QuarantineFile('C:\WINDOWS\services.exe','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\mmmsmqqki.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ksi32sk.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys','');
QuarantineFile('C:\WINDOWS\system32\3com_dmiw.exe','');
QuarantineFile('C:\WINDOWS\Temp\BN4.tmp','');
QuarantineFile('C:\Documents and Settings\maxim\Local Settings\Temp\BN2.tmp','');
DeleteService('systemntmi');
DeleteService('securentm');
DeleteService('netsik');
DeleteService('ksi32sk');
DeleteService('i386si');
DeleteService('EventSystemdmadmin');
DeleteFile('C:\Documents and Settings\maxim\Local Settings\Temp\BN2.tmp');
DeleteFile('C:\WINDOWS\Temp\BN4.tmp');
DeleteFile('C:\WINDOWS\system32\3com_dmiw.exe');
DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys');
DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
DeleteFile('C:\WINDOWS\system32\mmmsmqqki.dll');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\WINDOWS\services.exe');
DeleteFile('C:\WINDOWS\system32\mmbank.exe');
DeleteFileMask('C:\WINDOWS\Temp', '*.*', true);
DeleteFileMask('C:\Documents and Settings\maxim\Local Settings\Temp', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('systemntmi');
BC_DeleteSvc('securentm');
BC_DeleteSvc('netsik');
BC_DeleteSvc('ksi32sk');
BC_DeleteSvc('i386si');
BC_Activate;
ExecuteRepair(9);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В письме укажите пароль на архив virus. Полученный ответ сообщите здесь.

 

Пофиксить в HiJack

 F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O20 - AppInit_DLLs: C:\WINDOWS\system32\mmmsmqqki.dll

Обновить базы AVZ

Сделайте новые логи

Изменено пользователем thyrex
Ссылка на комментарий
Поделиться на другие сайты
ТроПа Ветеран

ТроПа

Опубликовано
Опубликовано

Пофиксить в HijackThis следующие строчки

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,

Повторите лог hijackthis.log

Проблемы какие-то наблюдаются?

Ссылка на комментарий
Поделиться на другие сайты
Roman Nikolaev Новичок

Roman Nikolaev

Опубликовано
  • Автор
Опубликовано

Сторочек таких в HJK не нахожу.

 

На всякий случай запустил Malwarebytes cделал отчет. Там что-то нашлось и пофиксилось.

 

На данный момент утечки трафика не наблюдаю, проблем с загрузкой обновлений Кав и системы не наблюдаю.

Спасибо за помощь!

hijackthis.log

mbam_log_2009_05_29__16_57_05_.txt

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Anix
      log работы ELPACO-team
      От Anix
      Отключил винт и подцепил его к виртуалке,
      нашёл лог работы заразы.
      Может поможет в создании лекарства
      temp.rar
    • jiil
      Вирус или Майнер
      От jiil
      Обнаружил на пк вирус или майнер, подозрения начались после общего замедления работы системы, забитый под 100% ЦП, после попыток использовать антивирус, он не запускался, при попытке скачать новый антивирус браузер вылетает, после попыток зайти в проводник в скрытые папки (Program Data) проводник тоже вылетает, смог воспользоваться AVbr с изменение имени исполняемого файла получил следующий лог
       

    • sater123
      Вирус шифровальщик
      От sater123
      Добрый день. Зашифровались файлы размером более 8 мегабайт (их почта datastore@cyberfear.com). Помогите пожалуйста.
      Зашифрованные файлы не могу прикрепить, так как их размер более 5Мб.
      FRST.txt Addition.txt
    • Salieri
      Заразился вирусом
      От Salieri
      Наткнулся на вирус, с файлов игры ( пиратки ) , нужнаCollectionLog-2024.12.16-15.54.zipFRST.txtAddition.txt помощь, система тормозит, производительность упала. Логи ниже
    • Vyacheslav_G
      Вирус не удаляется
      От Vyacheslav_G
      CollectionLog-2024.12.25-10.09.zip Точно сказать когда вирус появился не могу,называется chromium:page.malware.url. Проводил сканирование через Dr web,вроде бы вылечил,но при повторном сканировании dr web опять нашел его,и так еще несколько раз. По итогу мне надоело и я переустановил винду,  решил повторно проверить через dr web,он опять нашел его,я опять переустановил винду.Первые несколько программ которые я установил были google,dr web,telegram и steam. Опять делаю проверку на вирусы, и он опять находит его. Как его удалить?
×
×
  • Создать...