На днях Symantec стал постоянно выдавать сообщения об обнаружении в системе Hacktool.Rootkit. Сообщения появляются по нескольку раз в минуту. Помогите пожалуйста с удалением вируса.
На днях Symantec стал постоянно выдавать сообщения об обнаружении в системе Hacktool.Rootkit. Сообщения появляются по нескольку раз в минуту. Помогите пожалуйста с удалением вируса.
Вставьте все заражённые флешки, но не открывайте их в Проводнике, пока Вам не будет это разрешено.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрволл.
Пофиксите в HiJackThis:
Выполните скрипт AVZ:Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
Система перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('acpi32'); StopService('amd64si'); StopService('ati64si'); StopService('fips32cup'); StopService('i386si'); StopService('ksi32sk'); StopService('netsik'); StopService('nicsk32'); StopService('port135sik'); StopService('securentm'); StopService('systemntmi'); QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\ksi32sk.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\amd64si.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys',''); DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys'); DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys'); DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys'); DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys'); DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys'); DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys'); DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys'); DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys'); DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys'); DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys'); DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('acpi32'); BC_DeleteSvc('amd64si'); BC_DeleteSvc('ati64si'); BC_DeleteSvc('fips32cup'); BC_DeleteSvc('i386si'); BC_DeleteSvc('ksi32sk'); BC_DeleteSvc('netsik'); BC_DeleteSvc('nicsk32'); BC_DeleteSvc('port135sik'); BC_DeleteSvc('securentm'); BC_DeleteSvc('systemntmi'); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи согласно Правил (Диагностика)
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антивирус и Файрволл
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно Правил (Приложение 3).
- Прикрепите новые логи к новому сообщению в этой ветке.
При попытке выполнить скрипт в AVZ вылезает ошибка: ";" expected в позиции 52:1
Скрипт без ошибок. Может Вы его неудачно скопировали?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Выполнил все процедуры, со скриптом действительно ошибся при копировании.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрволл.
Пофиксите в HiJackThis:
Выполните скрипт AVZ:Код:O4 - Startup: is-8HO4S.lnk = ?
Система перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('vsdatant'); StopService('mpr_freader'); StopService('i386si'); QuarantineFile('a.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys',''); DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys'); DeleteFile('C:\Program Files\Multi Password Recovery\mpr_freader.sys'); DeleteFile('a.sys'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('vsdatant'); BC_DeleteSvc('mpr_freader'); BC_DeleteSvc('i386si'); SetAVZPMStatus(true); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи согласно Правил (Диагностика)
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антивирус и Файрволл
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно Правил (Приложение 3).
- Прикрепите новые логи к новому сообщению в этой ветке.
Выполнено
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 26
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Cliptoman, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.