Junior Member
Вес репутации
54
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Здравствуйте!
Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
ClearQuarantine;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
QuarantineFile('c:\windows\system32\romttcc.dll','');
QuarantineFile('C:\WINDOWS\Fonts\A9C0FF40.EXE','');
QuarantineFile('C:\WINDOWS\Fonts\401410E0.DLL','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\TEMP\don25DD.tmp','');
BC_DeleteSvc('fixustor');
BC_DeleteSvc('serverdk');
QuarantineFile('C:\WINDOWS\system32\server.exe','');
QuarantineFile('C:\WINDOWS\vfhyjh.exe','');
QuarantineFile('c:\windows\vfhyjh.exe','');
DeleteFile('c:\windows\vfhyjh.exe');
DeleteFile('C:\WINDOWS\vfhyjh.exe');
DeleteFile('C:\WINDOWS\system32\server.exe');
DeleteFile('C:\WINDOWS\TEMP\don25DD.tmp');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\WINDOWS\Fonts\401410E0.DLL');
DeleteFile('C:\WINDOWS\Fonts\A9C0FF40.EXE');
DeleteFile('c:\windows\system32\romttcc.dll');
DeleteFile('C:\WINDOWS\system32\RhmutjC.dll');
DeleteFile('C:\WINDOWS\system32\RimrtsC.dll');
DeleteFile('C:\WINDOWS\system32\RomttcC.dll');
DeleteFile('C:\WINDOWS\system32\RwmltuC.dll');
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.
Обновите базы AVZ!
Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.
Установите Adobe Acrobat 9.1 или удалите старый.
Обновите Java.
Установите обновления безопасности на Windows.
Junior Member
Вес репутации
54
Здравствуйте!
Всё сделал, карантин выслал, а вот новый лог:
Вложения
Закройте все программы.
Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\Atevxx.exe','');
BC_DeleteSvc('evxx');
BC_DeleteSvc('serverdk');
BC_DeleteSvc('gjunj');
QuarantineFile('C:\WINDOWS\system32\firefox.exe','');
BC_DeleteSvc('8E4ADF70');
BC_DeleteSvc('vdi3nda1');
DeleteFile('C:\WINDOWS\TEMP\don25DD.tmp');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\WINDOWS\system32\firefox.exe');
DeleteFile('C:\WINDOWS\Atevxx.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин , вверху этой темы.
Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.
Junior Member
Вес репутации
54
Скрипт выполнил. Карантин выслал, вот новый лог:
Вложения
Восстановление системы: включено
Отключить
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\server.exe','');
DeleteService('serverdk');
QuarantineFile('C:\WINDOWS\vfhyjh.exe','');
DeleteService('gjunj');
QuarantineFile('C:\WINDOWS\Fonts\A9C0FF40.EXE','');
DeleteService('8E4ADF70');
DeleteFile('C:\WINDOWS\Fonts\A9C0FF40.EXE');
DeleteFile('C:\WINDOWS\vfhyjh.exe');
DeleteFile('C:\WINDOWS\system32\server.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
54
Отключить восстановление системы по тому пути, какой указан в правилах не получается, нет такой вкладки в свойствах.
Но я зашёл по пути: Пуск, Панель управления, Администрирование, Службы. там есть "Служба восстановления системы" и тип запуска "отключено".
Или скрипт для того и нужен чтоб отключить?
В AVZ меню Файл Восстановление системы - в строчке
6. Удаление всех Polices (ограничений) …
поставьте галочку. Нажмите кнопку Выполнить ...
Попробуйте снова отключить службу восстановление системы по инструкции.
Junior Member
Вес репутации
54
Сделал, но вкладка так и не появилась.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
54
Скрипт выполнил. Карантин отправил. Здесь новые логи:
Вложения
Junior Member
Вес репутации
54
Страницы китайские больше не открываются и компьютер тоже больше не виснет.
Пофиксить в HiJack
Код:
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)
O2 - BHO: MyCentria Internet Mate v1.95 - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - (no file)
Перезагрузиться
Больше ничего плохого
Установите Internet Explorer 8
Обновите Java
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
54
Всё сделал.
Спасибо ребят вам всем за помощь!!
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 4 Обработано файлов: 8 В ходе лечения обнаружены вредоносные программы:
c:\windows\atevxx.exe - Trojan-Downloader.Win32.Agent.ckyp ( DrWEB: Trojan.DownLoad.42419 ) c:\windows\system32\firefox.exe - Trojan-Downloader.Win32.Agent.cilm ( DrWEB: Trojan.Darkshell, BitDefender: Dropped:Rootkit.Agent.AIZW )