Помогите вылечить от BackDoor.Bulknet.240 ...
логи прилагаю
Хелп !! BackDoor.Bulknet.240
Помогите вылечить от BackDoor.Bulknet.240 ...
логи прилагаю
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
В AVZ -> файл-> Выполнить скрипт
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll',''); DelBHO('{DB3645BA-5C28-4E2D-8C99-41DC53D19B7C}'); QuarantineFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\sowwrqu.dll',''); QuarantineFile('C:\WINDOWS\system32\digiwet.dll',''); TerminateProcessByName('c:\windows\system32\rs32net.exe'); QuarantineFile('c:\windows\system32\rs32net.exe',''); TerminateProcessByName('c:\windows\system32\ashevtsvc.exe'); QuarantineFile('c:\windows\system32\ashevtsvc.exe',''); DeleteFile('c:\windows\system32\ashevtsvc.exe'); DeleteFile('c:\windows\system32\rs32net.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\ati1qwxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati0lrxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati0tyxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati0wcxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati1bhxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati1dixx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati2bgxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati2flxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati2kqxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati2sxxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati2uaxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati3dixx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati3otxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati3rxxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati3tyxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati4inxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati4ioxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati4lrxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati4rwxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati5bgxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati5vcxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati6ioxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati6wdxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati6xexx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati6yexx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati7ioxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati7kpxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati8hmxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati8hnxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati8qwxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati8taxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati8xexx.sys'); DeleteFile('digeste.dll'); DeleteFile('C:\WINDOWS\system32\digiwet.dll'); DeleteFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\sowwrqu.dll'); DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll'); BC_Importall; BC_DeleteSvc('ati8taxx'); BC_DeleteSvc('ati8qwxx'); BC_DeleteSvc('ati8hnxx'); BC_DeleteSvc('ati8hmxx'); BC_DeleteSvc('ati7kpxx'); BC_DeleteSvc('ati7ioxx'); BC_DeleteSvc('ati6yexx'); BC_DeleteSvc('ati6xexx'); BC_DeleteSvc('ati6wdxx'); BC_DeleteSvc('ati6ioxx'); BC_DeleteSvc('ati5vcxx'); BC_DeleteSvc('ati5bgxx'); BC_DeleteSvc('ati4rwxx'); BC_DeleteSvc('ati4lrxx'); BC_DeleteSvc('ati4ioxx'); BC_DeleteSvc('ati4inxx'); BC_DeleteSvc('ati3tyxx'); BC_DeleteSvc('ati3rxxx'); BC_DeleteSvc('ati3otxx'); BC_DeleteSvc('ati3dixx'); BC_DeleteSvc('ati2uaxx'); BC_DeleteSvc('ati2sxxx'); BC_DeleteSvc('ati2kqxx'); BC_DeleteSvc('ati2flxx'); BC_DeleteSvc('ati2bgxx'); BC_DeleteSvc('ati1dixx'); BC_DeleteSvc('ati1bhxx'); BC_DeleteSvc('ati0wcxx'); BC_DeleteSvc('ati0tyxx'); BC_DeleteSvc('ati0lrxx'); BC_DeleteSvc('ati1qwxx'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=42907
Повторите логи по правилам.
сделал
карантин и логи прилагаю
В AVZ
Сделайте пункт 1 диагностики.Код:begin SetAVZPMStatus(True); RebootWindows(true); end.
лог
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
После выполнения скрипта компьютер перезагрузится!Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{DB3645BA-5C28-4E2D-8C99-41DC53D19B7C}'); QuarantineFile('\??\C:\WINDOWS\system32\drivers\jnhcgarmzh.sys',''); QuarantineFile('C:\Program Files\Common Files\Microsoft Shared\Web Folders\uqrwwos.dll',''); QuarantineFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\sowwrqu.dll',''); DeleteFile('\??\C:\WINDOWS\system32\drivers\jnhcgarmzh.sys'); DeleteFile('C:\WINDOWS\system32\drivers\00000C3E.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati0djxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati0qvxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati1agxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati2qwxx.sys'); DeleteFile('C:\Program Files\Common Files\Microsoft Shared\Web Folders\uqrwwos.dll'); DeleteFile('digiwet.dll'); DeleteFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\sowwrqu.dll'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('ati0djxx'); BC_DeleteSvc('ati0qvxx'); BC_DeleteSvc('ati1agxx'); BC_DeleteSvc('ati2qwxx'); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=42907
3. Сделайте новые логи (только п.2 и 3 раздела Диагностика).
Сердце решает кого любить... Судьба решает с кем быть...
логи
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
После выполнения скрипта компьютер перезагрузится!Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\drivers\jnhcgarmzh.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('gmtrnluh'); BC_Activate; RebootWindows(true); end.
3. Повторите лог virusinfo_syscheck.
Сердце решает кого любить... Судьба решает с кем быть...
лог
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Пришлите карантин по правилам и повторите логи...Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('RDSessMgrPlugPlay'); QuarantineFile('C:\WINDOWS\system32\1028z.exe',''); DeleteFile('C:\WINDOWS\system32\1028z.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; ExecuteRepair(6); ExecuteRepair(9); RebootWindows(true); end.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 23
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\all users\application data\microsoft\media player\sowwrqu.dll - Trojan-Ransom.Win32.Hexzone.aij
- c:\windows\system32\ashevtsvc.exe - Trojan-Downloader.Win32.Agent.bpwz
- c:\windows\system32\digiwet.dll - Backdoor.Win32.Zdoogu.bn
- c:\windows\system32\rs32net.exe - Trojan-Downloader.Win32.Agent.bpek
Уважаемый(ая) marshal, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
