-
Junior Member
- Вес репутации
- 57
iMAX Download Manager
Здравствуйте, Поймали этот вирус, при старте выдает кучу ошибок и не запускает программы из RUN. При любом взаимодействии с утилитами уходит в перезагрузку.. AVZ запустить не удалось даже если переименовать в asdf.pif.. сейчас картинка пропала но вирус вроде еще сидит..
O20 - AppInit_DLLs: C:\WINDOWS\system32\rbzynju.dll когда лечу в hijack каждый раз тут появляется новый файл
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\sdra64.exe, это вообще никогда не удаляется..
Помогите избавиться от заразы пожалуйста.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 57
http://virusinfo.info/showthread.php?t=44817 - не помогло..
http://news.drweb.com/show/?i=304&c=5 - не помогло.. в списке нет кода..
При попытке запуска AVZ в любом виде начинает перезапускаться..
При установке каспера ругается на файл net1.exe но продолжает ставиться, но запустить всеравно не удается..
-
Нужно загружаться с LiveCD и переименовывать файл C:\WINDOWS\system32\rbzynju.dll
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
Помогло только подключение винта к другому компьютеру. Утилита Каcперского нашла большое количество dll в system32.. После этого получилось запустить AVZ который в свою очередь тоже внес ряд изменений.. высылаю логи.. Посмотрите пожалуйста. Спасибо!
-
Выполните скрипт в avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\rundll32\asdkjagsdfgsagfjsadfgkjxcvf.pif','');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1547161642-682003330-1004\De4.com','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1547161642-682003330-1004\De2.com','');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1547161642-682003330-1004\De2.com');
DeleteFile('C:\WINDOWS\system32\lrgw.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(11);
RebootWindows(true);
end.
ПК перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
-
-
Пофиксить в Hijack следующие строки:
Код:
O20 - AppInit_DLLs: C:\WINDOWS\system32\lrgw.dll
Выполнить скрипт
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SetAVZPMStatus(True);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\lrgw.dll','');
QuarantineFile('C:\Documents and Settings\mikke\Рабочий стол\pppp\rundll32.exe.pif','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1547161642-682003330-1004\De2.com','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1547161642-682003330-1004\De4.com','');
QuarantineFile('C:\WINDOWS\system32\rundll32\asdfgh.pif','');
QuarantineFile('C:\WINDOWS\system32\rundll32\asdkjagsdfgsagfjsadfgkjxcvf.pif','');
QuarantineFile('C:\WINDOWS\system32\rundll32\fasdflaksjdfklaskflasfh.com','');
DeleteFile('C:\WINDOWS\system32\rundll32\fasdflaksjdfklaskflasfh.com');
DeleteFile('C:\WINDOWS\system32\rundll32\asdkjagsdfgsagfjsadfgkjxcvf.pif');
DeleteFile('C:\WINDOWS\system32\rundll32\asdfgh.pif');
DeleteFile('C:\WINDOWS\system32\lrgw.dll');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1547161642-682003330-1004\De4.com');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1547161642-682003330-1004\De2.com');
DeleteFile('C:\Documents and Settings\mikke\Рабочий стол\pppp\rundll32.exe.pif');
BC_ImportAll;
ExecuteSysClean;
Executerepair(6);
Executerepair(11);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится
Закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению
-
-
Junior Member
- Вес репутации
- 57
Выполнил как написали, сделал логи и карантин. Я вот не пойму он там все время правит какие-то библиотеки.. Что это значит не пойму.. Посмотрите пожалуйста логи.. Благодарю!
-
Выполнить скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('F:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится
Повторите действия, описанные в п.2 Диагностики и новый лог прикрепите к новому сообщению
-
-
Junior Member
- Вес репутации
- 57
-
В логе чисто, что с проблемой?
-
-
Junior Member
- Вес репутации
- 57
Все закончилось )) зачищаю остатки, спасибо большое за помощь всей команде! С Уважением, Михаил.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения вредоносные программы в карантинах не обнаружены
-