Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   nt authority/system (http://forum.oszone.net/showthread.php?t=179965)

spcr 06-07-2010 15:10 1448327
nt authority/system
 
Вложений: 1
Проблема такая же как и здесь .
Появляется окно с ошибкой и через минуту перезагружает комп.

Загрузка в обычном режиме не представляется возможной, т.к. вирус проявляется еще на экране приветствия. Сеть отключал, даже провода все вытыкал =).

Сканировал в безопасном режиме с загрузкой сетевых драйверов.
Очень жду Вашей помощи.
Логи:

help? 06-07-2010 15:27 1448334
Привет:)
Пофиксить:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\864a3c9d.exe,\\?\globalroot\systemroot\system32\Qth9TmC.exe,
Выполнить скрипт в авз:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('\\?\globalroot\systemroot\system32\Qth9TmC.exe','');
 QuarantineFile('C:\WINDOWS\system32\864a3c9d.exe','');
 DeleteFile('C:\WINDOWS\system32\864a3c9d.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\Qth9TmC.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки выполнить второй скрипт:
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine .zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в
строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.
Повторите логи, если сможете в обычном режиме, если нет-в безопасном.+

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

spcr 06-07-2010 17:29 1448433
Вложений: 3
Архив с карантином в форму не влез. Отправил сюда - Anti-Spyware2010atyandex.ru

Загрузился в "опасном" :) режиме. Все нормально. Вирус пока не проявился.

Новые логи:

help? 06-07-2010 18:40 1448489
C:\PROGRA~1\FLY200~1\FlyPCI.sys
ИЗВЕСТНАЯ ПАПКА?
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

spcr 06-07-2010 21:33 1448601
C:\PROGRA~1\FLY200~1\FlyPCI.sys
ТВ тюнер. Доверяю.

Лог Malwarebytes' Anti-Malware (все, что оставил, на моей совести):

Код:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Версия базы данных: 4282

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

06.07.2010 21:29:27
mbam-log-2010-07-06 (21-29-27).txt

Тип сканирования: Полное сканирование (C:\|D:\|E:\|F:\|G:\|H:\|)
Просканированные объекты: 427240
Времени прошло: 1 часов, 7 минут, 41 секунд

Зараженные процессы в памяти: 0
Зараженные модули в памяти: 0
Зараженные ключи в реестре: 0
Зараженные параметры в реестре: 0
Объекты реестра заражены: 3
Зараженные папки: 0
Зараженные файлы: 21

Зараженные процессы в памяти:
(Вредоносных программ не обнаружено)

Зараженные модули в памяти:
(Вредоносных программ не обнаружено)

Зараженные ключи в реестре:
(Вредоносных программ не обнаружено)

Зараженные параметры в реестре:
(Вредоносных программ не обнаружено)

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Зараженные папки:
(Вредоносных программ не обнаружено)

Зараженные файлы:
C:\Poker\Parimatch\_parimatch.exe (Adware.Casino) -> Not selected for removal.
C:\Program Files\William Hill Poker\_SetupPoker_da4aa8_en(WH).exe (Adware.Casino) -> Not selected for removal.
E:\Install\Nero\nero\Keygen.exe (Trojan.Agent.CK) -> Not selected for removal.
E:\Install\Audio\Redactors\AdobeAudition2\keygen.exe (Trojan.Agent) -> Quarantined and deleted successfully.
E:\Install\Audio\Redactors\Sound Forge 8\Keygen\Keygen.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
E:\Install\Audio\Redactors\Sound Forge 8\Keygen\SF8_Retail.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
E:\Install\Audio\Redactors\Sound Forge 8\Keygen\SF8_Trial.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
E:\Install\Graphics\КОМПАС-3D_V10_Base\Crack by stalin\hl_mull.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
E:\Install\Internet\Makromedia Dreamweawer CS3\adw3kg\adw3kg.exe (Trojan.Crax) -> Not selected for removal.
E:\Install\Internet\Poker\Poker Rooms\parimatch.exe (Adware.Casino) -> Not selected for removal.
E:\Install\Internet\Poker\Poker Rooms\SetupPoker_da4aa8_en(WH).exe (Adware.Casino) -> Not selected for removal.
E:\Install\Internet\The Bat rus 3-99-30\the_bat3.x.x.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.
E:\Install\Irfan View\Russian.dll (Malware.Packer) -> Quarantined and deleted successfully.
E:\Install\Video\Player\IPTV\IP-TV Player\Vlc\Plugins\libaout_directx_plugin.dll (Trojan.Downloader) -> Quarantined and deleted successfully.
E:\Install\Video\Player\IPTV\IP-TV Player\Vlc\Plugins\libvobsub_plugin.dll (Trojan.Downloader) -> Quarantined and deleted successfully.
E:\Install\Video\Redactor\Pinnacle Studio 94\Patch\KEYGEN.EXE (Hacktool.Gen) -> Quarantined and deleted successfully.
E:\Install\Video\Redactor\Sonic Foundry Vegas 5.0\vegas5kgn.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
E:\Install\Video\Redactor\Sony Vegas Movie Studio Platinum Pro v9.0a (Build 85) - Multilanguage\Patch\patch.exe (Trojan.Downloader) -> Not selected for removal.
E:\Virtual\Mini-Games\GIZA\dsetup.dll (Malware.Packer.Gen) -> Quarantined and deleted successfully.
E:\Virtual\Mini-Games\GIZA\1\dsetup.dll (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> Quarantined and deleted successfully.

help? 06-07-2010 22:43 1448650
C:\WINDOWS\system32\DRIVERS\atksgt.sys
C:\WINDOWS\system32\DRIVERS\lirsgt.sys
C:\WINDOWS\system32\drivers\monfilt.sys
C:\WINDOWS\system32\drivers\InCDPass.sys
C:\WINDOWS\system32\drivers\InCDRm.sys
C:\WINDOWS\system32\drivers\a59mtij9.sys
Проверьте эти файлы на www.virustotal.com и выложите ссылки на результаты.
C:\Documents and Settings\User\Application Data\WebMoney
Сами устанавливали, известно?

spcr 07-07-2010 00:27 1448693
C:\WINDOWS\system32\DRIVERS\atksgt.sys - 0/41 линк
C:\WINDOWS\system32\DRIVERS\lirsgt.sys - 0/41 линк
C:\WINDOWS\system32\drivers\monfilt.sys - 0/40 линк
C:\WINDOWS\system32\drivers\InCDPass.sys - файл отсутствует
C:\WINDOWS\system32\drivers\InCDRm.sys - файл отсутствует
C:\WINDOWS\system32\drivers\a59mtij9.sys - файл отсутствует

C:\Documents and Settings\User\Application Data\WebMoney - да, WebMoney ставил сам.

help? 07-07-2010 10:19 1448812
Создайте новую контрольную точку восстановления и очистите заражённую:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли

Рекомендую для предотвращения заражения:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и обновлять антивирусные базы.
-обновлять также другое ПО, по мере выхода новых версий.


Время: 00:38.

Время: 00:38.
© OSzone.net 2001-