-
Junior Member
- Вес репутации
- 52
вирус rootkit.win32.pakes.zo
Поймал этот вирус, не могу никак его удалить.
установлен каспер 2010, он его находит через некоторое время после запуска компьютера, выдает окно о его лечение, перезагружается, пишет что все нормально, но через некоторое время вирус опять появляется и касперский его находит.
выполнить шаги согласно правилам не получается, так как в безопасный режим компьютер не входит (идет загрузка, затем мигает синий экран, и он перезагружается)
Что делать, подскажите? Заранее признателен за советы.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сделайте логи в обычном режиме, а не в безопасном.
-
-
Junior Member
- Вес репутации
- 52
ок, сейчас выполняю проверку и делаю лог
-
Junior Member
- Вес репутации
- 52
-
Junior Member
- Вес репутации
- 52
сейчас поставил еще раз проверить все каспером, и он опять выдал это вирус
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\foujyvooj.exe','');
QuarantineFile('C:\WINDOWS\system32\pupouvisov.exe','');
QuarantineFile('depqdtwi.sys','');
DeleteService('depqdtwi');
QuarantineFile('C:\WINDOWS\system32\wabommejy.exe','');
SetServiceStart('c8pyieylu27ot', 4);
DeleteService('c8pyieylu27ot');
SetServiceStart('fzo3ueey', 4);
DeleteService('fzo3ueey');
TerminateProcessByName('c:\windows\system32\vupawa.exe');
QuarantineFile('c:\windows\system32\vupawa.exe','');
TerminateProcessByName('c:\windows\system32\mounnuvi.exe');
QuarantineFile('c:\windows\system32\mounnuvi.exe','');
DeleteFile('c:\windows\system32\mounnuvi.exe');
DeleteFile('c:\windows\system32\vupawa.exe');
DeleteFile('C:\WINDOWS\system32\wabommejy.exe');
DeleteFile('depqdtwi.sys');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','rigigy');
DeleteFile('C:\WINDOWS\system32\pupouvisov.exe');
DeleteFile('C:\WINDOWS\system32\foujyvooj.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mohuga');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','johoo');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
карантин прислал по форме, вот новые логи
-
>> Заблокированы настройки системы System Restore
Проделки вируса или Ваша работа?
Выполните скрипт в AVZ
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\vupawa.exe','');
TerminateProcessByName('c:\windows\system32\houjupoza.exe');
QuarantineFile('c:\windows\system32\houjupoza.exe','');
DeleteFile('c:\windows\system32\houjupoza.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','johoo');
DeleteFile('C:\WINDOWS\system32\vupawa.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Сообщение от
thyrex
Проделки вируса или Ваша работа?
не мои, не владею компьютером на таком уровне
-
Сообщение от
thyrex
Сделайте новые логи
Сделайте новые логи
-
-
Junior Member
- Вес репутации
- 52
вот логи, прошу прощения что долго, работа
-
Пофиксить в Hijack
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
Выполнить скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
Executerepair(6);
ExecuteWizard('TSW', 2, 2, true);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Сделайте новый лог virusinfo_syscheck.zip и лог Hijack
-
-
Junior Member
- Вес репутации
- 52
-
В логах чисто, что с проблемой?
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Рекомендую обновить, + установить последние обновления на ОС
-
-
Junior Member
- Вес репутации
- 52
сейчас поставлю на проверку, спасибо за помощь. Пока вирус не выскакивал
обновления поставлю, еще раз спасибо
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 20
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\houjupoza.exe - Trojan.Win32.Agent2.cpim ( AVAST4: Win32:Agent-AISC [Trj] )
- c:\windows\system32\mounnuvi.exe - Trojan.Win32.Agent2.cpim ( AVAST4: Win32:Agent-AISC [Trj] )
- c:\windows\system32\vupawa.exe - Trojan.Win32.Agent2.cpim ( AVAST4: Win32:Agent-AISC [Trj] )
-