Junior Member
Вес репутации
54
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Junior Member
Вес репутации
54
Вложения
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
-Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('hjgruivkbnetil');
StopService('kungsfkowbpfux');
StopService('ovfsthwuyfucbqiemurrwkejwbpxmdbyqxtknn');
StopService('SKYNETbyfwxrrp');
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\DRIVERS\hjgruioaxrdlvm.sys','');
QuarantineFile('C:\WINDOWS\SYSTEM32\hjgrui.dat','');
QuarantineFile('C:\WINDOWS\SYSTEM32\hjgruidvinsqsx.bak','');
QuarantineFile('C:\WINDOWS\SYSTEM32\hjgruidxwevmfh.dll','');
QuarantineFile('C:\WINDOWS\SYSTEM32\hjgruidvinsqsx.dll','');
QuarantineFile('C:\WINDOWS\SYSTEM32\hjgruilog.dat','');
QuarantineFile('C:\WINDOWS\SYSTEM32\hjgruidxwevmfh.bak','');
QuarantineFile('C:\WINDOWS\SYSTEM32\hjgruiqyesrrbk.dat','');
QuarantineFile('C:\WINDOWS\TEMP\hjgruihvsewntins.tmp','');
DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\hjgruioaxrdlvm.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\hjgrui.dat');
DeleteFile('C:\WINDOWS\SYSTEM32\hjgruidvinsqsx.bak');
DeleteFile('C:\WINDOWS\SYSTEM32\hjgruidxwevmfh.dll');
DeleteFile('C:\WINDOWS\SYSTEM32\hjgruidvinsqsx.dll');
DeleteFile('C:\WINDOWS\SYSTEM32\hjgruilog.dat','');
DeleteFile('C:\WINDOWS\SYSTEM32\hjgruidxwevmfh.bak');
DeleteFile('C:\WINDOWS\SYSTEM32\hjgruiqyesrrbk.dat');
DeleteFile('C:\WINDOWS\TEMP\hjgruihvsewntins.tmp');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
DeleteService('hjgruivkbnetil');
DeleteService('kungsfkowbpfux');
DeleteService('ovfsthwuyfucbqiemurrwkejwbpxmdbyqxtknn');
DeleteService('SKYNETbyfwxrrp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
BC_DeleteSvc('hjgruivkbnetil');
BC_DeleteSvc('kungsfkowbpfux');
BC_DeleteSvc('ovfsthwuyfucbqiemurrwkejwbpxmdbyqxtknn');
BC_DeleteSvc('SKYNETbyfwxrrp');
SetAVZPMStatus(True);
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Очистите файл hosts
- Сделайте лог GMER
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
Junior Member
Вес репутации
54
При попытке запустить скрипт выдает: Ошибка: Too many actual parameters в позиции 23:12
Выполняйте:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('hjgruivkbnetil');
StopService('kungsfkowbpfux');
StopService('ovfsthwuyfucbqiemurrwkejwbpxmdbyqxtknn');
StopService('SKYNETbyfwxrrp');
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\DRIVERS\hjgruioaxrdlvm.sys','');
QuarantineFile('C:\WINDOWS\SYSTEM32\hjgrui.dat','');
QuarantineFile('C:\WINDOWS\SYSTEM32\hjgruidvinsqsx.bak','');
QuarantineFile('C:\WINDOWS\SYSTEM32\hjgruidxwevmfh.dll','');
QuarantineFile('C:\WINDOWS\SYSTEM32\hjgruidvinsqsx.dll','');
QuarantineFile('C:\WINDOWS\SYSTEM32\hjgruilog.dat','');
QuarantineFile('C:\WINDOWS\SYSTEM32\hjgruidxwevmfh.bak','');
QuarantineFile('C:\WINDOWS\SYSTEM32\hjgruiqyesrrbk.dat','');
QuarantineFile('C:\WINDOWS\TEMP\hjgruihvsewntins.tmp','');
DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\hjgruioaxrdlvm.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\hjgrui.dat');
DeleteFile('C:\WINDOWS\SYSTEM32\hjgruidvinsqsx.bak');
DeleteFile('C:\WINDOWS\SYSTEM32\hjgruidxwevmfh.dll');
DeleteFile('C:\WINDOWS\SYSTEM32\hjgruidvinsqsx.dll');
DeleteFile('C:\WINDOWS\SYSTEM32\hjgruilog.dat');
DeleteFile('C:\WINDOWS\SYSTEM32\hjgruidxwevmfh.bak');
DeleteFile('C:\WINDOWS\SYSTEM32\hjgruiqyesrrbk.dat');
DeleteFile('C:\WINDOWS\TEMP\hjgruihvsewntins.tmp');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
DeleteService('hjgruivkbnetil');
DeleteService('kungsfkowbpfux');
DeleteService('ovfsthwuyfucbqiemurrwkejwbpxmdbyqxtknn');
DeleteService('SKYNETbyfwxrrp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
BC_DeleteSvc('hjgruivkbnetil');
BC_DeleteSvc('kungsfkowbpfux');
BC_DeleteSvc('ovfsthwuyfucbqiemurrwkejwbpxmdbyqxtknn');
BC_DeleteSvc('SKYNETbyfwxrrp');
SetAVZPMStatus(True);
RebootWindows(true);
end.
Junior Member
Вес репутации
54
Вложения
- Очистите файл hosts .
Код:
Код:
gmer.exe -del service kungsfkowbpfux
gmer.exe -del service hjgruivkbnetil
gmer.exe -del service ovfsthwuyfucbqiemurrwkejwbpxmdbyqxtknn
gmer.exe -del service SKYNETbyfwxrrp
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hjgruivkbnetil"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kungsfkowbpfux"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ovfsthwuyfucbqiemurrwkejwbpxmdbyqxtknn"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\SKYNETbyfwxrrp"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\hjgruivkbnetil"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\kungsfkowbpfux"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ovfsthwuyfucbqiemurrwkejwbpxmdbyqxtknn"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\SKYNETbyfwxrrp"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\hjgruivkbnetil"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\kungsfkowbpfux"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\ovfsthwuyfucbqiemurrwkejwbpxmdbyqxtknn"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\SKYNETbyfwxrrp"
gmer.exe -del file "c:\windows\system32\hjgruidxwevmfh.dll"
gmer.exe -del file "c:\windows\system32\hjgruiqyesrrbk.dat"
gmer.exe -del file "c:\windows\system32\hjgruidvinsqsx.dll"
gmer.exe -del file "c:\windows\system32\hjgruixtitafuc.dat"
gmer.exe -del file "c:\windows\system32\drivers\kungsfvymfdxfq.sys"
gmer.exe -del file "c:\windows\system32\kungsfjpypdiel.dll"
gmer.exe -del file "c:\windows\system32\kungsfemovreaw.dat"
gmer.exe -del file "c:\windows\system32\kungsfewmtklhv.dll"
gmer.exe -del file "c:\windows\system32\kungsfidalnqqm.dat"
gmer.exe -del file "c:\windows\system32\ovfsthrwaevpepdmtnqloewbrrryxrsvosfbwp.dll"
gmer.exe -del file "c:\windows\system32\ovfsthahqoallkptpyvihmyesfsdwwiabbkvae.dat"
gmer.exe -del file "c:\windows\system32\ovfsthhnofmofafknacdfrxvcvlhwecpisikpw.dll"
gmer.exe -del file "c:\windows\system32\ovfsthlootwjsnrladekiljboumyopbtetnbab.dll"
gmer.exe -del file "c:\windows\system32\ovfsthxynlidlqepreujyfjhdkaqjetasvnnjj.dat"
gmer.exe -del file "c:\windows\system32\kungsfwsp.dll"
gmer.exe -del file "c:\windows\system32\hjgruiwsp.dll"
gmer.exe -del file "c:\windows\system32\drivers\hjgruioaxrdlvm.sys"
gmer.exe -del file "c:\windows\system32\drivers\kungsfvymfdxfq.sys"
gmer.exe -del file "c:\windows\system32\drivers\ovfsthpxoymrdvpvqsxnixnvbywxiurboyxvwm.sys"
gmer.exe -del file "c:\windows\system32\drivers\SKYNETvnsecycb.sys"
gmer.exe -del file "c:\windows\system32\ovfsthwi.dll"
gmer.exe -del file "c:\windows\system32\ovfsthff.dll"
gmer.exe -reboot
скопируйте в новый текстовый файл, сохраните его в той папке, где у Вас файл gmer.exe под именем 123.bat и запустите двойным щелчком.
После перезагрузки повторите логи по правилам + gmer.
Последний раз редактировалось Rene-gad; 21.08.2009 в 15:47 .
Причина: Добавлено
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 4 В ходе лечения обнаружены вредоносные программы:
c:\windows\system32\hjgruidxwevmfh.dll - Trojan.Win32.Monder.cqbh ( DrWEB: BackDoor.Tdss.264, BitDefender: Trojan.CryptRedol.Gen.3, AVAST4: Win32:Alureon-BY [Rtk] )