Добрый день.
Прошу мне помочь с удалением вируса Trojan.Patched.GM
Засел в файлах winlogon.exe и explorer.exe ,антивирусом находится, но не удаляется .
С уважением Антон Ч.
Добрый день.
Прошу мне помочь с удалением вируса Trojan.Patched.GM
Засел в файлах winlogon.exe и explorer.exe ,антивирусом находится, но не удаляется .
С уважением Антон Ч.
Последний раз редактировалось TonyChess; 04.11.2010 в 23:38.
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Выполните скрипт в АВЗ -Код:R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file) R3 - URLSearchHook: (no name) - {f1debf6c-54b7-40a7-9d1e-6edf730314a3} - (no file) R3 - URLSearchHook: (no name) - - (no file) F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe O3 - Toolbar: (no name) - {f1debf6c-54b7-40a7-9d1e-6edf730314a3} - (no file)
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); TerminateProcessByName('c:\windows\system32\winlogon.exe'); TerminateProcessByName('c:\windows\explorer.exe'); QuarantineFile('c:\windows\explorer.exe',''); QuarantineFile('c:\windows\system32\winlogon.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\cmudaxu.sys',''); DeleteService('cqudfecc'); QuarantineFile('C:\WINDOWS\System32\Drivers\cqudfecc.sys',''); DeleteService('fvvsgcol'); QuarantineFile('C:\WINDOWS\System32\Drivers\fvvsgcol.sys',''); DeleteService('gksryikl'); QuarantineFile('C:\WINDOWS\System32\Drivers\gksryikl.sys',''); DeleteService('kkoyzegm'); DeleteService('kwstftbt'); QuarantineFile('C:\WINDOWS\System32\Drivers\kkoyzegm.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\kwstftbt.sys',''); DeleteService('xccyclng'); QuarantineFile('C:\WINDOWS\System32\Drivers\xccyclng.sys',''); QuarantineFile('C:\Documents and Settings\T a N\ctfmon.exe',''); DeleteFile('C:\WINDOWS\system32\system'); DeleteFile('C:\WINDOWS\system32\74.scr'); DeleteFile('C:\WINDOWS\system32\83.scr'); DeleteFile('C:\WINDOWS\system32\53.scr'); DeleteFile('C:\WINDOWS\system32\35.scr'); DeleteFile('C:\WINDOWS\system32\82.scr'); DeleteFile('C:\WINDOWS\system32\10.scr'); DeleteFile('C:\Documents and Settings\T a N\ctfmon.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\xccyclng.sys'); BC_DeleteSvc('xccyclng'); DeleteFile('C:\WINDOWS\System32\Drivers\kwstftbt.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\kkoyzegm.sys'); BC_DeleteSvc('kwstftbt'); BC_DeleteSvc('kkoyzegm'); DeleteFile('C:\WINDOWS\System32\Drivers\gksryikl.sys'); BC_DeleteSvc('gksryikl'); DeleteFile('C:\WINDOWS\System32\Drivers\fvvsgcol.sys'); BC_DeleteSvc('fvvsgcol'); DeleteFile('C:\WINDOWS\System32\Drivers\cqudfecc.sys'); BC_DeleteSvc('cqudfecc'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- выполните такой скрипт
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Файлы winlogon.exe и explorer.exe замените чистыми с дистрибутива
- Сделайте лог Гмер
Последний раз редактировалось olejah; 20.10.2010 в 23:17. Причина: Добавлено
Он не перезагружается автоматически.
После выполнения скрипта в АВЗ
Выскакивает ошибка Failed to set data for 'ImagePatch'
Я закрываю АВЗ и перезагружаю компьютер.
Выполняю скрипт
При выполнении этого скрипта пишет "Скрипт выполнен без ошибок"
Далее следую инструкции:
1. Запустите AVZ, выберите из меню "Файл" -> "Просмотр карантина".
2. Справа в списке файлов отметьте те файлы, которые нужно выслать.
Но никаких файлов там нет , правда в папке где находится АВЗ есть архив названием quarantine.zip весом 22 байта (НУжно ли его высылать?)
прикладываю gmer.log
Последний раз редактировалось TonyChess; 04.11.2010 в 20:26.
Можно просто скопировать эти 2 файла (winlogon.exe и explorer.exe )с другого компьютера имеющего аналогичную систему, а потом вставить файлы в соответствующие папки и заменить имеющиеся файлы. Либо все более сложно чем просто Копировать Вставить ?
Можно ли заменить эти файлы при помощи установочного диска Windows ?
Последний раз редактировалось TonyChess; 21.10.2010 в 00:46.
Да, можно, попробуйте.
Нужно ещё провериться так - http://support.kaspersky.ru/faq?qid=208636926, лог работы утилиты приложить сюда -По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.0_23.07.2010_15.31.43_log.txt
Добрый день.
Удачно выполнил оба скрипта для АВЗ в безопасном режиме.
Выслан карантин.
К сожалению пока не имею возможности скопировать с донора файлы (winlogon.exe и explorer.exe )
Прилагаю логи:
Добрый день.
Выполнил все вышенаписанные скрипты.
Выслал карантин, логи.
Заменил файлы winlogon.exe explorer.exe донорскими.
Антивирус теперь находит в вирус в папке AVZ4 , в карантине .
Какие дальнейшие действия?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Добрый день.
В очередной раз проверил компьютер при помощи KV Removal Tool,
нашел вирус: Trojan.Win32.Patched.kl
в папке виндоус system32\dllcache\explorer.exe и winlogon.exe
KV Removal Tool предложил лечить, что я и сделал , одновременно с осуществлением лечения , другой антивирус BitDefender уведомляет , что были заблокированы множественные вирусы ,
имя вирусаTrojan.Patched.GM
расположение в папке Virus Removal Tool т.е. там где лежит KV Removal Tool.
Пожалуйста подскажите что необходимо сделать?
Кроме вышеупомянутого периодически перезаргужается и выдает ошибку браузер OPERA , а в скрытой папке \Local Settings\Temp куча (порядка 10) однообразных папок типа WER302e.dir00 , в которых лежит файл opera.exe.hdmp и весит 300 Мб .
Подскажите нужны ли эти папки и файлы и можно ли их удалить , а то они в общей сложности 3 Гб занимают на системном диске.
Эти файлы необходимо заменить чистыми с дистрибутива. Затем повторяем логи АВЗ + делаем лог полного сканирования МВАМ
virusinfo_cure.zip весит более 1 Мб , прикрепить не удается.
Последний раз редактировалось TonyChess; 04.11.2010 в 23:36.
Сделайте лог полного сканирования МВАМ
Код:Зараженные ключи в реестре: HKEY_CLASSES_ROOT\AppID\{b0ed4726-5bc8-4e22-a7a8-3074a73ce64e} (Trojan.BHO) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{1408e208-2ac1-42d3-9f10-78a5b36e05ac} (Trojan.BHO) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{f3ba2a51-bb4f-4e22-ad0e-dff956d5b672} (Trojan.Ransom) -> No action taken. Зараженные параметры в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken. Зараженные папки: C:\Documents and Settings\LocalService\Application Data\sysproc64 (Trojan.Agent) -> No action taken. C:\Program Files\VVSN (Adware.WhenU) -> No action taken. C:\WINDOWS\system32\sysproc64 (Trojan.Agent) -> No action taken. Зараженные файлы: E:\System Volume Information\_restore{1070B499-74F3-492D-A4AF-B1C62BAAEC31}\RP53\A0015768.exe (Malware.Packer.Gen) -> No action taken. E:\System Volume Information\_restore{1070B499-74F3-492D-A4AF-B1C62BAAEC31}\RP53\A0015772.exe (Malware.Packer.Gen) -> No action taken. C:\Documents and Settings\LocalService\Application Data\sysproc64\sysproc32.sys (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\sysproc64\sysproc32.sys (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\sysproc64\sysproc86.sys (Trojan.Agent) -> No action taken. C:\explorer.exe (Worm.AutoRun) -> No action taken. C:\winlogon.exe (Trojan.Agent) -> No action taken. C:\Documents and Settings\Администратор.SUBWAY\Рабочий стол\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
-
Последний раз редактировалось olejah; 04.11.2010 в 23:49. Причина: virusinfo_cure.zip - карантин
TonyChess, извините. Не ту ссылку дал
Вот правильная
Удалите в МВАМ указанное в сообщении №14
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Запустил MBAM повторно, на это раз нашел еще больше угроз, надеюсь что удалил то , что нужно.
Удалите в МВАМ
Код:Зараженные ключи в реестре: HKEY_CLASSES_ROOT\AppID\{b0ed4726-5bc8-4e22-a7a8-3074a73ce64e} (Trojan.BHO) -> Not selected for removal. HKEY_CLASSES_ROOT\CLSID\{1408e208-2ac1-42d3-9f10-78a5b36e05ac} (Trojan.BHO) -> Not selected for removal. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> Not selected for removal. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{f3ba2a51-bb4f-4e22-ad0e-dff956d5b672} (Trojan.Ransom) -> Not selected for removal. Зараженные параметры в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> Not selected for removal. Зараженные папки: C:\Documents and Settings\LocalService\Application Data\sysproc64 (Trojan.Agent) -> Not selected for removal. C:\WINDOWS\system32\sysproc64 (Trojan.Agent) -> Not selected for removal. Зараженные файлы: E:\System Volume Information\_restore{1070B499-74F3-492D-A4AF-B1C62BAAEC31}\RP53\A0015768.exe (Malware.Packer.Gen) -> Not selected for removal. E:\System Volume Information\_restore{1070B499-74F3-492D-A4AF-B1C62BAAEC31}\RP53\A0015772.exe (Malware.Packer.Gen) -> Not selected for removal. C:\Documents and Settings\LocalService\Application Data\sysproc64\sysproc32.sys (Trojan.Agent) -> Not selected for removal. C:\WINDOWS\system32\sysproc64\sysproc32.sys (Trojan.Agent) -> Not selected for removal. C:\WINDOWS\system32\sysproc64\sysproc86.sys (Trojan.Agent) -> Not selected for removal. C:\explorer.exe (Worm.AutoRun) -> Not selected for removal. C:\winlogon.exe (Trojan.Agent) -> Not selected for removal. C:\Documents and Settings\Администратор.SUBWAY\Рабочий стол\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Not selected for removal.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Добрый день.
Удалил. логи АВЗ еще раз надо делать?
Файлы заменили? Проблема решена?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Уважаемый(ая) TonyChess, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.