Добрый день!
Помогите, пожалуйста избавиться от сабжа. Определяется NOD32, но не удаляется
Заранее спасибо.
Добрый день!
Помогите, пожалуйста избавиться от сабжа. Определяется NOD32, но не удаляется
Заранее спасибо.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelCLSID('{E6FB5E20-DE35-11CF-9C87-00AA005127ED}'); QuarantineFile('C:\WINDOWS\system32\WlCtrl32.dll',''); QuarantineFile('C:\WINDOWS\system32\drivers\docker19.sys',''); DeleteService('docker19'); DeleteService('mickey32'); QuarantineFile('C:\WINDOWS\system32\drivers\mickey32.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\mswd64.sys',''); DeleteService('mswd64'); QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll',''); DeleteFile('C:\WINDOWS\system32\msvcrt57.dll'); DeleteFile('C:\WINDOWS\system32\drivers\mswd64.sys'); DeleteFile('C:\WINDOWS\system32\drivers\mickey32.sys'); DeleteFile('C:\WINDOWS\system32\drivers\docker19.sys'); DeleteFile('C:\WINDOWS\system32\WlCtrl32.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(1); RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Все выслал.
D:\Scripts\nod32upd.vbs - известный Вам файл? Связан с заданием в Планировщике для обновления Nod
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Да, известный, мною писанный.
Пофиксить в HiJack
Сделайте новый лог HiJackКод:R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: Rmn plugin - {7FED228E-A6F7-49aa-A0BC-76E0A67C53BB} - drweb32.dll (file missing) O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Пофиксил, высылаю.
Так, еще кое-что
Пофиксить в HiJack
Выполните скрипт в AVZКод:O4 - HKCU\..\Run: [iexplorer] C:\WINDOWS\iexplorer.exe --system O4 - HKCU\..\Run: [userinit] C:\Documents and Settings\kira\Application Data\sdra64.exe
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\iexplorer.exe',''); DeleteFile('C:\WINDOWS\iexplorer.exe'); QuarantineFile('C:\Documents and Settings\kira\Application Data\sdra64.exe',''); DeleteFile('C:\Documents and Settings\kira\Application Data\sdra64.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Выполнил
строчки O4 - HKCU\..\Run: [iexplorer] C:\WINDOWS\iexplorer.exe --system
не нашел
Отключите антивирус и файрволл
Повторите действия из сообщения №8
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Отключил, повторил.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RebootWindows(true); end.
Сделайте новые лог virusinfo_syscheck.zip
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Выполнил
Чисто.
Установите Internet Explorer 8
Установите Adobe Acrobat 9.1 или удалите старый
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Огромное спасибо!
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 31
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\kira\application data\sdra64.exe - Trojan-Spy.Win32.Zbot.zgo
- c:\windows\system32\msvcrt57.dll - Trojan-PSW.Win32.WebMoner.hi ( DrWEB: Trojan.DownLoad.40314, BitDefender: Trojan.Generic.2185637 )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) Urfin, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.