-
Junior Member
- Вес репутации
- 54
проблема с windows sequrity alert
пару дней назад при работе в интернете начало выдавать сообщение о нелецензионной версии винды (смс сертификация 3649), после чего активными оставались только окна запущенных программ (плеер, браузер). исчезали значки с рабочего стола, пуск и все остальное. при перезагрузке работает нормально, до первого подлкючения к интернету, а точнее открытия браузера. отсканил весь комп AVP и произвел остальные действия, надеюсь на вашу помощь!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('G:\autorun.inf','');
QuarantineFile('C:\Documents and Settings\Admin\bccku.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ffvdrdql.sys','');
QuarantineFile('C:\RECYCLER\S-1-5-21-6016952765-6804088329-639445547-6936\dllrun32.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\eyyuiffm.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\etuxdvcb.sys','');
DeleteService('ctpzthvi');
QuarantineFile('C:\WINDOWS\System32\Drivers\ctpzthvi.sys','');
DeleteService('cbsttgzg');
DeleteService('bakibvns');
QuarantineFile('C:\WINDOWS\System32\Drivers\bakibvns.sys','');
DeleteService('aiznsclc');
DeleteService('eogcvzyx');
QuarantineFile('C:\WINDOWS\system32\Drivers\eogcvzyx.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\eogcvzyx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\aiznsclc.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\bakibvns.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\cbsttgzg.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ctpzthvi.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\etuxdvcb.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\eyyuiffm.sys');
DeleteFile('C:\RECYCLER\S-1-5-21-6016952765-6804088329-639445547-6936\dllrun32.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\ffvdrdql.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ffzdqlod.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\fwpbyhzf.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\fyysqefu.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\gemwkerr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\gfyfswcw.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\gnvhhehq.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\gvchvpba.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\hjlobkgk.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\hqylimqq.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\hsohtrbc.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ivbibtpc.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\kgexbnjn.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\khutauyv.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\kwpsjycw.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\lxlwysap.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\mcifkoka.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\mctrnfts.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\mybdktly.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ohmgofkm.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\pnxmjrsp.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\prmqzczk.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\puaadspc.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\pzgppmfk.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\qibdbons.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\qlnzprrg.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\quvfhsmt.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\toirhifw.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ueyzgvwg.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\upcqcabq.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\utmymjk3.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\uzkectso.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\vnomjvkj.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\vponhaun.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\vqkdhxdf.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\vygsccme.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\yfwvqrbr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ynimpyof.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\zqamqmgw.sys');
DeleteFile('G:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('eogcvzyx');
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин по правилам и повторите логи...
-
-
Junior Member
- Вес репутации
- 54
Спасибо. скрипт выполнил. сейчас при работе в интернете пока ничего не беспокоит. карантин отправил. выкладываю новые логи.
-
Пофиксить в HiJack
Код:
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\zsjnlpss.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\yakhaeay.sys','');
DeleteService('zsjnlpss');
DeleteService('yakhaeay');
StopService('eogcvzyx');
DeleteService('eogcvzyx');
DeleteFile('eogcvzyx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\eogcvzyx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\yakhaeay.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\zsjnlpss.sys');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
произвел все действия. не знаю удалось ли загрузить карантин, страница загрузки подвисает...
выкладываю логи.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
спасибо!!!!
буду советовать ваш сайт всем друзьям!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 20
- В ходе лечения обнаружены вредоносные программы:
- c:\recycler\s-1-5-21-6016952765-6804088329-639445547-6936\dllrun32.exe - P2P-Worm.Win32.Palevo.jvq ( DrWEB: Win32.HLLW.Lime.25, BitDefender: Trojan.Generic.2503896, AVAST4: Win32:Palevo-D [Wrm] )
- g:\autorun.inf - Worm.Win32.AutoRun.gwq
-