Добрый день,уважаемые!
Хотя стабильность вроде бы не нарушена,почувствовал по некоторым малозаметным отклонениям,что завелась какая-то гадость.В частности AVP обнаружил Win32.Small.alox и Win32.Refroso.oh
Как вывести паразитов?
Добрый день,уважаемые!
Хотя стабильность вроде бы не нарушена,почувствовал по некоторым малозаметным отклонениям,что завелась какая-то гадость.В частности AVP обнаружил Win32.Small.alox и Win32.Refroso.oh
Как вывести паразитов?
С уважением,RU6YD.
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Пофиксите в HiJackThis:
- Выполните скрипт AVZ:Код:F2 - REG:system.ini: Shell=explorer.exe rundll32.exe calc.ifo before1main F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\msupdt.exe,
Система перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('msupdate'); QuarantineFile('C:\DOCUME~1\728E~1\LOCALS~1\Temp\svchost.exe','from temp'); QuarantineFile('c:\windows\system32\svchost.exe','from system'); QuarantineFile('C:\WINDOWS\system32\msupdt.exe',''); QuarantineFile('C:\Documents and Settings\адрей\адрей.exe',''); QuarantineFile('C:\UR5EQF~1\LPTWDMIO.SYS',''); QuarantineFile('C:\WINDOWS\system32\drivers\AntiyFW.sys',''); QuarantineFile('c:\windows\system32\mssrv32.exe',''); QuarantineFile('C:\WINDOWS\system32\calc.ifo',''); DeleteFile('C:\WINDOWS\system32\calc.ifo'); DeleteFile('c:\windows\system32\mssrv32.exe'); DeleteFile('C:\Documents and Settings\адрей\адрей.exe'); DeleteFile('C:\DOCUME~1\728E~1\LOCALS~1\Temp\svchost.exe'); DeleteFile('C:\WINDOWS\system32\msupdt.exe'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('msupdate'); ExecuteRepair(13); {очистка файла hosts} ExecuteRepair(16); {восстановление ключа запуска explorer} BC_Activate; RebootWindows(true); end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи согласно Правил (Диагностика)
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антивирус и Файрволл
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно Правил (Приложение 3).
- Прикрепите новые логи к новому сообщению в этой ветке.
end.
OK.Сделал
С уважением,RU6YD.
выполните скрипт
пришлите карантин согласно приложения 3 правилКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\svshost.dll',''); QuarantineFile('c:\windows\system32\wininet.exe',''); DeleteFile('c:\windows\system32\wininet.exe'); DeleteFile('C:\WINDOWS\system32\svshost.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи
Сделал-вроде чисто
С уважением,RU6YD.
Выполните скрипт AVZ:
Система перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); BC_QrSvc('zmdprczd'); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- Загрузите карантин согласно Правил (Приложение 3).
- Сделайте лог с помощью GMER.
Сделал.
У нас уже утро,а работу еще никто не отменял.Продолжим вечером.
С уважением,RU6YD.
сохраните как 1.bat в папке где находится gmer запустите
повторите последний логКод:gmer.exe -del service zmdprczd gmer.exe -del file "C:\WINDOWS\system32\cmtlkddt.dll" gmer.exe -del file "C:\WINDOWS\system32\msqpdxbwucbfoe.dll" gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\zmdprczd" gmer.exe -del reg "HKLM\SYSTEM\ControlSet007\Services\zmdprczd" gmer.exe -del reg "HKLM\SYSTEM\ControlSet008\Services\zmdprczd" gmer -reboot
Привет! Сделал
С уважением,RU6YD.
полный лог сделайте ...
Сделал
С уважением,RU6YD.
Сделайте повторный лог только согласно пункта 2 Правил (Диагностика)
virusinfo_syscheck.zip
Сделал
С уважением,RU6YD.
Вроде всё OK.Помогавших искренне благодарю за уделённое время.
Тему можно закрывать.Всем удачи!
С уважением,RU6YD.
Миссия выполнена
Вы можете отблагодарить хелперов, которые Вам помогли, нажав им на кнопку "Спасибо", а также и весь проект VirusInfo вот тут.
Рекомендуется изменить все используемые пароли, поскольку теоретически зловред мог их отправить злоумышленникам. Также, рекомендуется провести полную проверку системы антивирусом.
Установите все последние обновления системы Windows и используемых программ.
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 7
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\svshost.dll - Trojan-Downloader.Win32.Murlo.bll ( DrWEB: BackDoor.Bulknet.388 )
Уважаемый(ая) ru6yd, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.