Добрый вечер, недавно скачал программу searchsettings и подозреваю что данный троян скачался вместе с ней. Теперь при загрузке все время висит в процессах. Находится в директории C:\WINDOWS\Winshell. Там два файла : phoenix.exe и phoenix.cfg. Ожидаю вашей помощи.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Sigmaren, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Кто-нибудь?
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{39AA6D29-4236-4F25-A36A-3410EF5283D9}'); DelBHO('{10EDB994-47F8-43F7-AE96-F2EA63E9F90F}'); QuarantineFile('C:\WINDOWS\Winshell\phoenix.exe',''); QuarantineFile('C:\Program Files\Common Files\System\ado\ntsysdriver.exe',''); DeleteFile('C:\Program Files\Common Files\System\ado\ntsysdriver.exe','32'); DeleteFile('\\?\globalroot\systemroot\system32\z2B7RZs.exe','32'); DeleteFile('C:\WINDOWS\Winshell\phoenix.exe'); DeleteFileMask('C:\WINDOWS\Winshell','*',false); DeleteDirectory('C:\WINDOWS\Winshell'); ClearHostsFile; BC_ImportDeletedList; ExecuteSysClean; ExecuteRepair(2); ExecuteRepair(3); ExecuteRepair(4); ExecuteRepair(20); BC_Activate; RebootWindows(true); end.
Выполните в AVZ скрипт:
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Сделайте полный образ автозапуска uVS.
WBR,
Vadim
Скопировал код, нажал выполнить из буфера обмена, но выдает такую вот ошибку : "Текст скрипта содержит ошибки, либо не содержит команд uVS, выполнение таких скриптов запрещено!"
Выполняйте скрипт в AVZ, как я и просил.
WBR,
Vadim
Аа все, извиняюсь за оплошность, перепутал программы. Выполнил скрит, после перезагрузки выскочило системное сообщение что "программа настройки системы находится в режиме диагностической или селективной загрузки" и в рекомендациях указано что нужно установить режим обычной загрузки на вкладки общие. Вопрос нужно ли это установить или лучше не менять?. Далее, при загрузке на этот раз phoenix.exe не запустился в процессах. В папке Winshell его тоже нету, как и phoenix.cfg. Но там осталась папка "plugins" которая хранит две папки "opencl" и "phatk2" В первой папке 4 файла, во второй 3. В обеих папка есть повторяющиеся файлы __init__.py и __init__.pyo. Avast распознает их как вирусы, но удалить не может.
Да, установите режим обычной загрузки.
Вычистите содержимое папки Winshell и удалите её вручную.
Выполните скрипт в uVS:Компьютер перезагрузится.Код:;uVS v3.80.12 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 exec MsiExec.exe /quiet /X{26A24AE4-039D-4CA4-87B4-2F83216031F0} exec MsiExec.exe /quiet /X{26A24AE4-039D-4CA4-87B4-2F83216032FF} exec MsiExec.exe /quiet /X{1111706F-666A-4037-7777-210328764D10} uidel C:\Program Files\Mail.Ru\Sputnik\mailrusputnik.exe uninstall deltmp restart
Установите Internet Explorer 8 - даже если им не пользуетесь, это критически важный для безопасности компонент Windows.
Выполните скрипт в AVZ при наличии доступа в интернет:После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.Код:var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end.
WBR,
Vadim
Все выполнил, уязвимости устранил, теперь все стало как прежде. Спасибо больше за помощь.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Sigmaren, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
