-
Junior Member
- Вес репутации
- 55
Не могу избавиться от вируса (csrcs.exe и видимо не только он)
В списках процессов каждый раз после перезагрузки появляется csrcs.exe. Пробовал реестр чистить, но как-то безуспешно - всё возвращается на круги своя..
Кроме того при подключенном Internet IE не грузится - окно браузера появляется и пропадает.
Заранее спасибо
Последний раз редактировалось krexxxer; 19.09.2009 в 18:04.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
SetAVZPMStatus(True);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
QuarantineFile('C:\WINDOWS\system32\drivers\aliserv3.sys','');
QuarantineFile('C:\WINDOWS\system32\alil.dll','');
QuarantineFile('exodpt.dll','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('c:\windows\system32\csrcs.exe','');
DeleteFile('c:\windows\system32\csrcs.exe');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
SysCleanAddFile('DevDetect.exe');
DeleteFile('exodpt.dll');
ExecuteRepair(16);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.
Обновите базы AVZ!
Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.
Установите Adobe Acrobat 9.1 или удалите старый.
Установите IE8.
-
-
Junior Member
- Вес репутации
- 55
Последний раз редактировалось krexxxer; 19.09.2009 в 18:04.
-
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\SKYNETsspqbhfg.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\aliserv3.sys','');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\WINDOWS\system32\drivers\SKYNETsspqbhfg.sys');
DeleteFile('C:\WINDOWS\system32\drivers\aliserv3.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
- Сделайте повторные логи в нормальном режиме.
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин (http://virusinfo.info/upload_virus.php?tid=48185) вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
- Сделайте лог GMER.
-
-
Junior Member
- Вес репутации
- 55
карантин отправил, логи прикладываю.
Спасибо
Последний раз редактировалось krexxxer; 19.09.2009 в 18:04.
-
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
Код:
gmer.exe -del service SKYNETqftkbmle
gmer.exe -del file C:\Windows\system32\drivers\SKYNETsspqbhfg.sys
gmer.exe -del file C:\Windows\system32\SKYNETqalnqvmp.dll
gmer.exe -del file C:\Windows\system32\SKYNETcfqbuwff.dat
gmer.exe -del file C:\Windows\system32\SKYNETvpwswuib.dat
gmer.exe -del file C:\Windows\system32\SKYNETxldxonmf.dll
gmer.exe -del reg HKLM\SYSTEM\CurrentControlSet\Services\SKYNETqftkbmle
gmer.exe -del reg HKLM\SYSTEM\ControlSet003\Services\SKYNETqftkbmle
gmer.exe -reboot
И запустите cleanup.bat
Сделайте новый лог GMER.
Последний раз редактировалось Wild Spirit; 19.06.2009 в 17:22.
-
-
Junior Member
- Вес репутации
- 55
сохранил, запустил.
лог прилагаю
Последний раз редактировалось krexxxer; 19.09.2009 в 18:04.
-
Ничего подозрительного в логе.
Остались какие-либо проблемы?
-
-
Junior Member
- Вес репутации
- 55
Нет, проблем нет. "Косяки" пропали, всё хорошо
Спасибо огромное!
-------
хотя..
в c:\windows\temp куча файлов вида SKYNETypowqtdpfc.tmp
но с ними Avira быстро справилась
-----
В C:\WINDOWS\system32\drivers сидит sptd.sys. Антивирус его не может просканить, после ручного удаления, заново появляется.
А теперь и вовсе не удаляется. "Отказано в доступе"
Последний раз редактировалось krexxxer; 19.06.2009 в 19:47.
-
sp??.sys - это от эмулятора дисков. Это легитимный файл.
Очистите темп-папки, кэш проводников и корзину.
Добавлено через 2 минуты
в c:\windows\temp куча файлов вида SKYNETypowqtdpfc.tmp
Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask('C:\WINDOWS\system32', 'SKYNET*.*', true);
DeleteFileMask('C:\WINDOWS\Temp', 'SKYNET*.*', true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Последний раз редактировалось Wild Spirit; 19.06.2009 в 19:53.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 55
Всё гуд
Спасибо!
-
Рекомендуется:
- установить Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.);
- установить Acrobat Reader 9.1.2 или удалить старый.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 11
- В ходе лечения вредоносные программы в карантинах не обнаружены
-