-
Junior Member
- Вес репутации
- 54
Win32/Olmarik.JU троянская программа Ошибка при очистка
Помогите пожалуйста антивирус НОД 32 не может удалить троянскую программу! Модуль сканирования файлов, исполняемых при запуске системы файл \\?\globalroot\systemroot\system32\hjgruimrfmkddg. dll Win32/Olmarik.JU троянская программа Ошибка при очисткаhijackthis.log
virusinfo_syscure.zip
virusinfo_syscheck.zip
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Выполните скрипт в AVZ:
Код:
begin
SetAVZPMStatus(true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
2. Повторите лог virusinfo_syscheck.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 54
Все сделал как написали!
virusinfo_syscheck.zip
-
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
Удалите приложения:
Spyware Terminator
TuneUp Utilities 2008
Crawler Toolbar
-Пофиксите
Код:
F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - D:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O2 - BHO: Доступ к платному контенту FieryAds v2.0.0 - {6D125299-C2A9-4DBC-BEC3-6F7124E39A41} - (no file)
O2 - BHO: Доступ к платному контенту Aldea v1.5.2 - {B8F88615-A49E-4443-A26F-E97379BE1B1A} - (no file)
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "D:\Program Files\TuneUp Utilities 2008\MemOptimizer.exe" autostart
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] D:\WINDOWS\system32\csrcs.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - D:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O23 - Service: McAfee Application Installer Cleanup (0083441239647471) (0083441239647471mcinstcleanup) - Unknown owner - D:\DOCUME~1\C243~1\LOCALS~1\Temp\0083441239647471mcinst.exe (file missing)
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('d:\windows\system32\csrcs.exe');
StopService('ws2_32sik');
StopService('systemntmi');
StopService('sysdrv32');
StopService('SKYNETcccrprpo');
StopService('securentm');
StopService('port135sik');
StopService('netsik');
StopService('kungsfilrclxfu');
StopService('fips32cup');
StopService('ati64si');
StopService('amd64si');
StopService('acpi32');
StopService('0083441239647471mcinstcleanup');
QuarantineFile('Explorer.exe csrcs.exe','');
QuarantineFile('systemroot\system32\hjgruimrfmkddg. dll','');
QuarantineFile('D:\WINDOWS\system32\drivers\ws2_32sik.sys','');
QuarantineFile('D:\WINDOWS\system32\drivers\systemntmi.sys','');
QuarantineFile('D:\WINDOWS\system32\drivers\sysdrv32.sys','');
QuarantineFile('D:\WINDOWS\system32\drivers\securentm.sys','');
QuarantineFile('D:\WINDOWS\system32\drivers\port135sik.sys','');
QuarantineFile('D:\WINDOWS\system32\drivers\netsik.sys','');
QuarantineFile('D:\WINDOWS\system32\drivers\fips32cup.sys','');
QuarantineFile('D:\WINDOWS\system32\drivers\ati64si.sys','');
QuarantineFile('D:\WINDOWS\system32\drivers\amd64si.sys','');
QuarantineFile('D:\WINDOWS\system32\drivers\acpi32.sys','');
QuarantineFile('d:\windows\system32\csrcs.exe','');
QuarantineFile('d:\program files\lavclock\bin\lavclock2.exe','');
QuarantineFile('d:\documents and settings\Игорь\Рабочий стол\новинки 25\termometr\termometr.exe','');
QuarantineFile('D:\DOCUME~1\C243~1\LOCALS~1\Temp\0083441239647471mcinst.exe','');
QuarantineFile('\systemroot\system32\drivers\hjgruihesrumoq.sys','');
DeleteService('systemntmi');
DeleteService('sysdrv32');
DeleteService('SKYNETcccrprpo');
DeleteService('kungsfilrclxfu');
DeleteService('fips32cup');
DeleteService('ati64si');
DeleteService('amd64si');
DeleteService('acpi32');
DeleteService('0083441239647471mcinstcleanup');
DeleteFile('Explorer.exe csrcs.exe');
DeleteFile('D:\WINDOWS\system32\drivers\ws2_32sik.sys');
DeleteFile('D:\WINDOWS\system32\drivers\systemntmi.sys');
DeleteFile('D:\WINDOWS\system32\drivers\sysdrv32.sys');
DeleteFile('D:\WINDOWS\system32\drivers\securentm.sys');
DeleteFile('D:\WINDOWS\system32\drivers\port135sik.sys');
DeleteFile('D:\WINDOWS\system32\drivers\netsik.sys');
DeleteFile('D:\WINDOWS\system32\drivers\fips32cup.sys');
DeleteFile('D:\WINDOWS\system32\drivers\ati64si.sys');
DeleteFile('D:\WINDOWS\system32\drivers\amd64si.sys');
DeleteFile('D:\WINDOWS\system32\drivers\acpi32.sys');
DeleteFile('d:\windows\system32\csrcs.exe');
DeleteFile('D:\DOCUME~1\C243~1\LOCALS~1\Temp\0083441239647471mcinst.exe');
DeleteFile('\systemroot\system32\drivers\hjgruihesrumoq.sys');
DeleteFile('systemroot\system32\hjgruimrfmkddg. dll');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('systemntmi');
BC_DeleteSvc('sysdrv32');
BC_DeleteSvc('SKYNETcccrprpo');
BC_DeleteSvc('kungsfilrclxfu');
BC_DeleteSvc('fips32cup');
BC_DeleteSvc('ati64si');
BC_DeleteSvc('amd64si');
BC_DeleteSvc('acpi32');
BC_DeleteSvc('0083441239647471mcinstcleanup');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте лог GMER
- Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
-
-
Junior Member
- Вес репутации
- 54
-
Junior Member
- Вес репутации
- 54
Запрошенный карантин закачан!
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\drivers\hjgruihesrumoq.sys','');
DeleteFile('c:\windows\system32\drivers\hjgruihesrumoq.sys');
QuarantineFile('c:\windows\system32\hjgruivssfoepx.dll','');
DeleteFile('c:\windows\system32\hjgruivssfoepx.dll');
QuarantineFile('c:\windows\system32\hjgruiuwqiplyi.dat','');
DeleteFile('c:\windows\system32\hjgruiuwqiplyi.dat');
QuarantineFile('c:\windows\system32\hjgruimrfmkddg.dll','');
DeleteFile('c:\windows\system32\hjgruimrfmkddg.dll');
QuarantineFile('c:\windows\system32\hjgruixbnkyxvd.dat','');
DeleteFile('c:\windows\system32\hjgruixbnkyxvd.dat');
QuarantineFile('c:\windows\system32\drivers\kungsfxeuhuayg.sys','');
DeleteFile('c:\windows\system32\drivers\kungsfxeuhuayg.sys');
QuarantineFile('c:\windows\system32\kungsfqrsswqql.dll','');
DeleteFile('c:\windows\system32\kungsfqrsswqql.dll');
QuarantineFile('c:\windows\system32\kungsfxexjkcpk.dat','');
DeleteFile('c:\windows\system32\kungsfxexjkcpk.dat');
QuarantineFile('c:\windows\system32\kungsfoenwvlke.dat','');
DeleteFile('c:\windows\system32\kungsfoenwvlke.dat');
QuarantineFile('c:\windows\system32\kungsfgfmtfgey.dll','');
DeleteFile('c:\windows\system32\kungsfgfmtfgey.dll');
QuarantineFile('c:\windows\system32\drivers\SKYNETptntxsvb.sys','');
DeleteFile('c:\windows\system32\drivers\SKYNETptntxsvb.sys');
QuarantineFile('c:\windows\system32\SKYNETvfqjpwmx.dll','');
DeleteFile('c:\windows\system32\SKYNETvfqjpwmx.dll');
QuarantineFile('D:\WINDOWS\system32\drivers\ws2_32sik.sys','');
DeleteService('ws2_32sik');
QuarantineFile('D:\WINDOWS\system32\drivers\securentm.sys','');
DeleteService('securentm');
QuarantineFile('D:\WINDOWS\system32\drivers\port135sik.sys','');
DeleteService('port135sik');
QuarantineFile('D:\WINDOWS\system32\drivers\netsik.sys','');
DeleteService('netsik');
DeleteFile('D:\WINDOWS\system32\drivers\netsik.sys');
DeleteFile('D:\WINDOWS\system32\drivers\port135sik.sys');
DeleteFile('D:\WINDOWS\system32\drivers\securentm.sys');
DeleteFile('D:\WINDOWS\system32\drivers\ws2_32sik.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
Код:
gmer.exe -del service hjgruivbvmasbp
gmer.exe -del service kungsfilrclxfu
gmer.exe -del service SKYNETcccrprpo
gmer.exe -del file "c:\windows\system32\drivers\hjgruihesrumoq.sys"
gmer.exe -del file "c:\windows\system32\hjgruivssfoepx.dll"
gmer.exe -del file "c:\windows\system32\hjgruiuwqiplyi.dat"
gmer.exe -del file "c:\windows\system32\hjgruimrfmkddg.dll"
gmer.exe -del file "c:\windows\system32\hjgruixbnkyxvd.dat"
gmer.exe -del file "c:\windows\system32\drivers\kungsfxeuhuayg.sys"
gmer.exe -del file "c:\windows\system32\kungsfqrsswqql.dll"
gmer.exe -del file "c:\windows\system32\kungsfxexjkcpk.dat"
gmer.exe -del file "c:\windows\system32\kungsfoenwvlke.dat"
gmer.exe -del file "c:\windows\system32\kungsfgfmtfgey.dll"
gmer.exe -del file "c:\windows\system32\drivers\SKYNETptntxsvb.sys"
gmer.exe -del file "c:\windows\system32\SKYNETvfqjpwmx.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hjgruivbvmasbp"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kungsfilrclxfu"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\SKYNETcccrprpo"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\hjgruivbvmasbp"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\kungsfilrclxfu"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\SKYNETcccrprpo"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\hjgruivbvmasbp"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\kungsfilrclxfu"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\SKYNETcccrprpo"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\hjgruivbvmasbp"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\kungsfilrclxfu"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\SKYNETcccrprpo"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\hjgruivbvmasbp"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\kungsfilrclxfu"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\SKYNETcccrprpo"
gmer.exe -reboot
И запустите cleanup.bat
Компьютер перезагрузится
Сделать новый лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
Сделал все как написали!
Gmer2.log
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\windows\system32\drivers\hjgruihesrumoq.sys','');
DeleteFile('D:\windows\system32\drivers\hjgruihesrumoq.sys');
QuarantineFile('D:\windows\system32\hjgruivssfoepx.dll','');
DeleteFile('D:\windows\system32\hjgruivssfoepx.dll');
QuarantineFile('D:\windows\system32\hjgruiuwqiplyi.dat','');
DeleteFile('D:\windows\system32\hjgruiuwqiplyi.dat');
QuarantineFile('D:\windows\system32\hjgruimrfmkddg.dll','');
DeleteFile('D:\windows\system32\hjgruimrfmkddg.dll');
QuarantineFile('D:\windows\system32\hjgruixbnkyxvd.dat','');
DeleteFile('D:\windows\system32\hjgruixbnkyxvd.dat');
QuarantineFile('D:\windows\system32\drivers\kungsfxeuhuayg.sys','');
DeleteFile('D:\windows\system32\drivers\kungsfxeuhuayg.sys');
QuarantineFile('D:\windows\system32\kungsfqrsswqql.dll','');
DeleteFile('D:\windows\system32\kungsfqrsswqql.dll');
QuarantineFile('D:\windows\system32\kungsfxexjkcpk.dat','');
DeleteFile('D:\windows\system32\kungsfxexjkcpk.dat');
QuarantineFile('D:\windows\system32\kungsfoenwvlke.dat','');
DeleteFile('D:\windows\system32\kungsfoenwvlke.dat');
QuarantineFile('D:\windows\system32\kungsfgfmtfgey.dll','');
DeleteFile('D:\windows\system32\kungsfgfmtfgey.dll');
QuarantineFile('D:\windows\system32\drivers\SKYNETptntxsvb.sys','');
DeleteFile('D:\windows\system32\drivers\SKYNETptntxsvb.sys');
QuarantineFile('D:\windows\system32\SKYNETvfqjpwmx.dll','');
DeleteFile('D:\windows\system32\SKYNETvfqjpwmx.dll');
QuarantineFile('D:\WINDOWS\system32\drivers\ws2_32sik.sys','');
DeleteService('ws2_32sik');
QuarantineFile('D:\WINDOWS\system32\drivers\securentm.sys','');
DeleteService('securentm');
QuarantineFile('D:\WINDOWS\system32\drivers\port135sik.sys','');
DeleteService('port135sik');
QuarantineFile('D:\WINDOWS\system32\drivers\netsik.sys','');
DeleteService('netsik');
DeleteFile('D:\WINDOWS\system32\drivers\netsik.sys');
DeleteFile('D:\WINDOWS\system32\drivers\port135sik.sys');
DeleteFile('D:\WINDOWS\system32\drivers\securentm.sys');
DeleteFile('D:\WINDOWS\system32\drivers\ws2_32sik.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сохраните текст ниже как cleanup2.bat в ту же папку, где находится gmer.exe
Код:
gmer.exe -del service hjgruivbvmasbp
gmer.exe -del service kungsfilrclxfu
gmer.exe -del service SKYNETcccrprpo
gmer.exe -del file "D:\windows\system32\drivers\hjgruihesrumoq.sys"
gmer.exe -del file "D:\windows\system32\hjgruivssfoepx.dll"
gmer.exe -del file "D:\windows\system32\hjgruiuwqiplyi.dat"
gmer.exe -del file "D:\windows\system32\hjgruimrfmkddg.dll"
gmer.exe -del file "D:\windows\system32\hjgruixbnkyxvd.dat"
gmer.exe -del file "D:\windows\system32\drivers\kungsfxeuhuayg.sys"
gmer.exe -del file "D:\windows\system32\kungsfqrsswqql.dll"
gmer.exe -del file "D:\windows\system32\kungsfxexjkcpk.dat"
gmer.exe -del file "D:\windows\system32\kungsfoenwvlke.dat"
gmer.exe -del file "D:\windows\system32\kungsfgfmtfgey.dll"
gmer.exe -del file "D:\windows\system32\drivers\SKYNETptntxsvb.sys"
gmer.exe -del file "D:\windows\system32\SKYNETvfqjpwmx.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hjgruivbvmasbp"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kungsfilrclxfu"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\SKYNETcccrprpo"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\hjgruivbvmasbp"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\kungsfilrclxfu"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\SKYNETcccrprpo"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\hjgruivbvmasbp"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\kungsfilrclxfu"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\SKYNETcccrprpo"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\hjgruivbvmasbp"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\kungsfilrclxfu"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\SKYNETcccrprpo"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\hjgruivbvmasbp"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\kungsfilrclxfu"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\SKYNETcccrprpo"
gmer.exe -reboot
И запустите cleanup2.bat
Компьютер перезагрузится
Сделать новый лог gmer
-
-
Junior Member
- Вес репутации
- 54
Что опять тоже самое, я же уже делал это!
-
Сообщение от
Игорь НК
Что опять тоже самое, я же уже делал это!
Нет, поверьте, что это не совсем то же самое
-
-
Junior Member
- Вес репутации
- 54
-
-
-
Junior Member
- Вес репутации
- 54
-
-