Roman Nikolaev 0 Опубликовано 28 мая, 2009 Share Опубликовано 28 мая, 2009 На одном из компов в компанни где я работаю появились симптомы заражения. Вирус кушает трафик. Вызывает сбои в загрузки системы. Определить вирус не удалось. Буду признателен, если вы поможете мне еще раз. Вот логи: Извините, ответа ждать? virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 28 мая, 2009 Share Опубликовано 28 мая, 2009 (изменено) Выполните скрипт в AVZ begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\mmbank.exe',''); QuarantineFile('C:\WINDOWS\services.exe',''); QuarantineFile('C:\WINDOWS\system32\sdra64.exe',''); QuarantineFile('C:\WINDOWS\system32\mmmsmqqki.dll',''); QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\ksi32sk.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys',''); QuarantineFile('C:\WINDOWS\system32\3com_dmiw.exe',''); QuarantineFile('C:\WINDOWS\Temp\BN4.tmp',''); QuarantineFile('C:\Documents and Settings\maxim\Local Settings\Temp\BN2.tmp',''); DeleteService('systemntmi'); DeleteService('securentm'); DeleteService('netsik'); DeleteService('ksi32sk'); DeleteService('i386si'); DeleteService('EventSystemdmadmin'); DeleteFile('C:\Documents and Settings\maxim\Local Settings\Temp\BN2.tmp'); DeleteFile('C:\WINDOWS\Temp\BN4.tmp'); DeleteFile('C:\WINDOWS\system32\3com_dmiw.exe'); DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys'); DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys'); DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys'); DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys'); DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys'); DeleteFile('C:\WINDOWS\system32\mmmsmqqki.dll'); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); DeleteFile('C:\WINDOWS\services.exe'); DeleteFile('C:\WINDOWS\system32\mmbank.exe'); DeleteFileMask('C:\WINDOWS\Temp', '*.*', true); DeleteFileMask('C:\Documents and Settings\maxim\Local Settings\Temp', '*.*', true); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('systemntmi'); BC_DeleteSvc('securentm'); BC_DeleteSvc('netsik'); BC_DeleteSvc('ksi32sk'); BC_DeleteSvc('i386si'); BC_Activate; ExecuteRepair(9); RebootWindows(true); end. Компьютер перезагрузится. Выполнить скрипт в AVZ. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В письме укажите пароль на архив virus. Полученный ответ сообщите здесь. Пофиксить в HiJack F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe, O20 - AppInit_DLLs: C:\WINDOWS\system32\mmmsmqqki.dll Обновить базы AVZ Сделайте новые логи Изменено 28 мая, 2009 пользователем thyrex Цитата Ссылка на сообщение Поделиться на другие сайты
Roman Nikolaev 0 Опубликовано 29 мая, 2009 Автор Share Опубликовано 29 мая, 2009 Сделано. virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 29 мая, 2009 Share Опубликовано 29 мая, 2009 Пофиксить в HijackThis следующие строчки F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe, Повторите лог hijackthis.log Проблемы какие-то наблюдаются? Цитата Ссылка на сообщение Поделиться на другие сайты
Roman Nikolaev 0 Опубликовано 29 мая, 2009 Автор Share Опубликовано 29 мая, 2009 Сторочек таких в HJK не нахожу. На всякий случай запустил Malwarebytes cделал отчет. Там что-то нашлось и пофиксилось. На данный момент утечки трафика не наблюдаю, проблем с загрузкой обновлений Кав и системы не наблюдаю. Спасибо за помощь! hijackthis.log mbam_log_2009_05_29__16_57_05_.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 29 мая, 2009 Share Опубликовано 29 мая, 2009 А если бы базы были обновлены, глядишь и обошлись бы без MBAM 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.