Зловредный троян засел так долеко что ни касперыч, ни веб, ни есет, найти его немогут, забивает трафик полностью. Need help.
Заранее благодарен.
Зловредный троян засел так долеко что ни касперыч, ни веб, ни есет, найти его немогут, забивает трафик полностью. Need help.
Заранее благодарен.
Тот кто не делает больше того что получает, никогда не получит больше.
Отключите восстановление системы! См. Приложение 1 Правил.
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
Компьютер перезагрузится.Код:begin SetAVZGuardStatus(True); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); DelBHO('{7B65C43D-DF0A-4919-99CD-76125CE83F7C}'); QuarantineFile('C:\WINDOWS\system32\updater.exe',''); QuarantineFile('C:\WINDOWS\system32\scvhost.exe',''); QuarantineFile('C:\WINDOWS\system32\rfpz9wwyy2np.dll',''); QuarantineFile('C:\WINDOWS\system32\rKPbzUHze58GK2VWcYUCt.inf',''); QuarantineFile('C:\WINDOWS\system32\pEcFwPj48y6DADf87r.inf',''); QuarantineFile('C:\WINDOWS\system32\kFDDTTA2NjqgtbCWBxS.inf',''); QuarantineFile('C:\WINDOWS\system32\emHnPuBAaF7XjuXBbdxSg.dll',''); QuarantineFile('C:\WINDOWS\system32\ed78ab9.dll',''); QuarantineFile('C:\WINDOWS\system32\eYNMAnskCCBQCc8Jp.dll',''); QuarantineFile('C:\WINDOWS\system32\eNyN5X48HrtXc.dll',''); QuarantineFile('C:\WINDOWS\system32\Y4npJWJNr.dll',''); QuarantineFile('C:\WINDOWS\system32\NWCWorkstation.dll',''); QuarantineFile('C:\WINDOWS\system32\Ias.dll',''); QuarantineFile('C:\WINDOWS\system32\Irmon.dll',''); QuarantineFile('C:\WINDOWS\system32\CDuAUVkGy9.dll',''); QuarantineFile('C:\WINDOWS\system32\BMsg6pdMD4ht.dll',''); QuarantineFile('C:\WINDOWS\system32\B4yNKrEEhEerKFeeA4.inf',''); QuarantineFile('C:\WINDOWS\system32\704C3595.dll',''); QuarantineFile('C:\WINDOWS\system32\6to4.dll',''); QuarantineFile('C:\WINDOWS\system32\2exJW3dsaTgWrf5uAPadmHN.dll',''); QuarantineFile('C:\WINDOWS\system32\2EF0D734.dll',''); QuarantineFile('C:\WINDOWS\system32\122B901E.dll',''); QuarantineFile('C:\WINDOWS\system32\08223B03.dll',''); QuarantineFile('C:\WINDOWS\fonts\A97CRaCB.fon',''); QuarantineFile('C:\WINDOWS\Downloaded Program Files\ktEDQzfuNZk2SUAMgyAZz.cur',''); QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\NEventMessages.dll',''); QuarantineFile('C:\WINDOWS\system32\NsPass0.sys',''); QuarantineFile('C:\WINDOWS\system32\NsPass1.sys',''); QuarantineFile('C:\WINDOWS\system32\NsPass2.sys',''); QuarantineFile('C:\WINDOWS\system32\NsPass3.sys',''); QuarantineFile('C:\WINDOWS\system32\NsPass4.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\WmiSvc.sys',''); DeleteService('WmiSvc'); DeleteService('NsPsDk04'); DeleteService('NsPsDk03'); DeleteService('NsPsDk02'); DeleteService('NsPsDk01'); DeleteService('NsPsDk00'); DeleteService('panp8'); QuarantineFile('C:\WINDOWS\system32\panp8.exe',''); QuarantineFile('c:\windows\mfc64.exe',''); DeleteService('mfc64'); DeleteService('haid'); DeleteService('FireFox2'); DeleteService('dsfdsf'); QuarantineFile('C:\WINDOWS\system32\Y5SV2X4RQX\J001.exe',''); QuarantineFile('C:\WINDOWS\system32\firefox2.exe',''); QuarantineFile('C:\WINDOWS\system32\haid.exe',''); DeleteService('CNGSrv'); QuarantineFile('C:\WINDOWS\System32\Abcver.exe',''); QuarantineFile('c:\windows\system32\Ieupgrades.dll',''); QuarantineFile('c:\windows\system32\i\sqlserv.exe',''); QuarantineFile('c:\windows\system32\sqldebug.exe',''); DeleteFile('C:\WINDOWS\System32\Abcver.exe'); DeleteFile('C:\WINDOWS\system32\haid.exe'); DeleteFile('C:\WINDOWS\system32\firefox2.exe'); DeleteFile('C:\WINDOWS\system32\Y5SV2X4RQX\J001.exe'); DeleteFile('c:\windows\mfc64.exe'); DeleteFile('C:\WINDOWS\system32\panp8.exe'); DeleteFile('C:\WINDOWS\Downloaded Program Files\ktEDQzfuNZk2SUAMgyAZz.cur'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{AB8105BD-1B1B-40F3-8D3D-65FD7FC68CC5}'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\System\PrintFilterPipelineSvc','EventMessageFile'); DeleteFile('C:\WINDOWS\fonts\A97CRaCB.fon'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{8708994F-1758-4C2C-9A3F-FA22D6CCCB41}'); DeleteFile('C:\WINDOWS\system32\08223B03.dll'); DeleteFile('C:\WINDOWS\system32\122B901E.dll'); DeleteFile('C:\WINDOWS\system32\2EF0D734.dll'); DeleteFile('C:\WINDOWS\system32\2exJW3dsaTgWrf5uAPadmHN.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\6to4\Parameters','ServiceDll'); DeleteFile('C:\WINDOWS\system32\6to4.dll'); DeleteFile('C:\WINDOWS\system32\704C3595.dll'); DeleteFile('C:\WINDOWS\system32\B4yNKrEEhEerKFeeA4.inf'); DeleteFile('C:\WINDOWS\system32\BMsg6pdMD4ht.dll'); DeleteFile('C:\WINDOWS\system32\CDuAUVkGy9.dll'); DeleteFile('C:\WINDOWS\system32\Irmon.dll'); DeleteFile('C:\WINDOWS\system32\Y4npJWJNr.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{38FEFE05-702C-440D-AD5C-B796209A1CC5}'); DeleteFile('C:\WINDOWS\system32\cRsAQd4hw.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{93F33500-527E-4E33-AECA-69B15243A90E}'); DeleteFile('C:\WINDOWS\system32\eNyN5X48HrtXc.dll'); DeleteFile('C:\WINDOWS\system32\eYNMAnskCCBQCc8Jp.dll'); DeleteFile('C:\WINDOWS\system32\ed78ab9.dll'); DeleteFile('C:\WINDOWS\system32\emHnPuBAaF7XjuXBbdxSg.dll'); DeleteFile('C:\WINDOWS\system32\kFDDTTA2NjqgtbCWBxS.inf'); DeleteFile('C:\WINDOWS\system32\pEcFwPj48y6DADf87r.inf'); DeleteFile('C:\WINDOWS\system32\rKPbzUHze58GK2VWcYUCt.inf'); DeleteFile('C:\WINDOWS\system32\rfpz9wwyy2np.dll'); DeleteFile('C:\WINDOWS\system32\scvhost.exe'); DeleteFile('C:\WINDOWS\system32\updater.exe'); DeleteFile('c:\windows\system32\Ieupgrades.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Обновите базы AVZ.
Сделайте новыe логи AVZ и приложите к этой теме.
Карантин отослал, логи высылаю.
Тот кто не делает больше того что получает, никогда не получит больше.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 7
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\abcver.exe - Backdoor.Win32.Agent.aknv ( AVAST4: Win32:Trojan-gen {Other} )
- c:\windows\system32\haid.exe - Trojan.Win32.Scar.wws ( DrWEB: BackDoor.Beizhu.2801 )
- c:\windows\system32\panp8.exe - Trojan.Win32.Scar.wws ( DrWEB: BackDoor.Beizhu.2801 )
Уважаемый(ая) Arty, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.