Есть трояны псевдоантивирус, заражённый userinit, svchost и services.
Есть трояны псевдоантивирус, заражённый userinit, svchost и services.
Отключите антивирус и интернет!
Пофиксить
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".Код:O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe O4 - HKLM\..\Run: [4830f05a] rundll32.exe "C:\WINDOWS\system32\kvfimnro.dll",b O4 - HKLM\..\Run: [BM4b03c3c6] Rundll32.exe "C:\WINDOWS\system32\glnppfyb.dll",s O4 - HKCU\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe O4 - HKUS\S-1-5-18\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe (User 'SYSTEM') O17 - HKLM\System\CCS\Services\Tcpip\..\{81850DE4-EB6D-4E1C-BCA5-14A3F6149951}: NameServer = 85.255.116.165,85.255.112.195 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.165 85.255.112.195
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\system32\ipsecpooler.exe'); SetServiceStart('ipsecpooler', 4); StopService('ipsecpooler'); QuarantineFile('globalroot\systemroot\system32\drivers\msliksurserv.sys',''); QuarantineFile('C:\WINDOWS\system32\sla32.dll',''); QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe',''); QuarantineFile('C:\WINDOWS\TEMP\csrssc.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winlr16.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Vci74.sys',''); QuarantineFile('C:\WINDOWS\system32\ipsecndis.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\89a596b1.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\services.exe',''); QuarantineFile('C:\Documents and Settings\user\ie_updates3r.exe',''); QuarantineFile('srv.exe',''); DeleteService('ipsecpooler'); QuarantineFile('C:\WINDOWS\system32\qoMghIxV.dll',''); QuarantineFile('C:\WINDOWS\system32\kvfimnro.dll',''); QuarantineFile('C:\WINDOWS\system32\glnppfyb.dll',''); QuarantineFile('c:\windows\system32\ipsecpooler.exe',''); DeleteService('COMSysApp AntiVirus'); DeleteService('CiSvcAudioSrv'); DeleteService('Google Online Services'); DeleteService('VSSCryptSvc'); DeleteService('SPBBCSvcRpcSs'); DeleteService('ShellHWDetectionSPBBCSvc'); DeleteService('Jeg33'); DeleteService('89a596b1'); DeleteService('Winlr16'); DeleteService('ipsecndisbridge'); DeleteService('vci74'); DeleteService('Schedule'); DeleteFile('c:\windows\system32\ipsecpooler.exe'); DeleteFile('C:\WINDOWS\system32\glnppfyb.dll'); DeleteFile('C:\WINDOWS\system32\kvfimnro.dll'); DeleteFile('C:\WINDOWS\system32\qoMghIxV.dll'); DeleteFile('srv.exe'); DeleteFile('C:\Documents and Settings\user\ie_updates3r.exe'); DeleteFile('C:\WINDOWS\system32\drivers\services.exe'); DeleteFile('C:\WINDOWS\System32\drivers\89a596b1.sys'); DeleteFile('C:\WINDOWS\system32\ipsecndis.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Vci74.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winlr16.sys'); DeleteFile('C:\WINDOWS\TEMP\csrssc.exe'); DeleteFile('C:\WINDOWS\system32\drivers\spools.exe'); DeleteFile('C:\WINDOWS\system32\qoMdCUol.dll'); DeleteFile('qoMdCUol.dll'); DeleteFile('C:\WINDOWS\system32\sla32.dll'); DeleteFile('C:\WINDOWS\system32\domiebho.dll'); DeleteFile('globalroot\systemroot\system32\drivers\msliksurserv.sys'); DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}'); DelBHO('{F4E0F49D-DB3C-45CA-B98C-1B6ACEA49A01}'); DelBHO('{E5646F36-145E-4F1D-B6D1-87C5EFC5BA1C}'); DelBHO('{A4D16645-4149-41FB-B670-E06072E540C1}'); DelBHO('{6D0386B3-FD72-488E-9740-90355AE21735}'); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('Winlr16 '); BC_DeleteSvc('ipsecpooler '); BC_DeleteSvc('Schedule '); BC_DeleteSvc('ShellHWDetectionSPBBCSvc '); BC_DeleteSvc('COMSysApp AntiVirus '); BC_DeleteSvc('CiSvcAudioSrv '); BC_DeleteSvc('VSSCryptSvc '); BC_DeleteSvc('vci74 '); BC_DeleteSvc('ipsecndisbridge '); BC_DeleteSvc('89a596b1 '); BC_DeleteSvc('Jeg33 '); BC_DeleteSvc('SPBBCSvcRpcSs '); BC_Activate; ExecuteRepair(5); ExecuteRepair(6); ExecuteRepair(8); RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=27232
Повторите логи...
Сделал. Новые логи. Карантин залил.
пофиксите ...
выполните скрипт ...Код:O17 - HKLM\System\CCS\Services\Tcpip\..\{81850DE4-EB6D-4E1C-BCA5-14A3F6149951}: NameServer = 85.255.116.165,85.255.112.195 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.165 85.255.112.195 O20 - Winlogon Notify: qoMdCUol - C:\WINDOWS\
пришлите карантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}'); DelBHO('{F4E0F49D-DB3C-45CA-B98C-1B6ACEA49A01}'); DeleteService('Jeg33'); QuarantineFile('C:\WINDOWS\system32\accessl.exe',''); DeleteService('ERSvcBrowser'); DeleteFile('C:\WINDOWS\system32\accessl.exe'); DeleteFile('Jeg33.sys'); DeleteFile('C:\WINDOWS\system32\qoMghIxV.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи ...
Пофиксл, скрипт выполнил, но в карантин файл не попал QuarantineFile('C:\WINDOWS\system32\accessl.exe',' '), сейчас делаю новые логи
Вот новые логи
Чисто,жалобы есть?
Спасибо. Жалоб нет (тока на свои руки)
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 36
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\glnppfyb.dll - Trojan.Win32.Monder.bcb (DrWEB: Trojan.Virtumod.450)
- c:\\windows\\system32\\ipsecpooler.exe - Backdoor.Win32.QBot.b
- c:\\windows\\system32\\kvfimnro.dll - Trojan.Win32.Monder.bez
- c:\\windows\\system32\\qomghixv.dll - Trojan.Win32.Monder.jlj (DrWEB: Trojan.Virtumod.441)
Уважаемый(ая) Ales K, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.