Доброй ночи.
Помогите, пожалуйста, с очисткой компьютера после eKav. С самим вирусом кое как справился с помощью gmer, но остался заблокированным реестр и аваст. Логи прилагаю.
Доброй ночи.
Помогите, пожалуйста, с очисткой компьютера после eKav. С самим вирусом кое как справился с помощью gmer, но остался заблокированным реестр и аваст. Логи прилагаю.
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
После выполнения скрипта компьютер перезагрузится!Код:begin SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); QuarantineFile('C:\WINDOWS\system32\sdra64.exe',''); QuarantineFile('C:\WINDOWS\system32\bthprops.cpl:eRq3JB:$DATA',''); DelBHO('{EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A}'); DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}'); DelBHO('{8DAE90AD-4583-4977-9DD4-4360F7A45C74}'); DelBHO('{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}'); DelBHO('{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}'); QuarantineFile('C:\WINDOWS\system32\braviax.exe',''); QuarantineFile('C:\WINDOWS\System32\rs32net.exe',''); DeleteService('ati5kqxx'); DeleteService('ati4vcxx'); DeleteService('ati2ubxx'); DeleteService('ati2cjxx'); DeleteService('ati1ryxx'); DeleteService('ati1ntxx'); DeleteService('ati0bhxx'); DeleteService('wuauservupnphost'); DeleteService('WMPNetworkSvcWudfSvc'); DeleteService('WinpowerRMIWinpowermonitor'); DeleteService('WinpowerRMIRemoteRegistryAlerterEventSystemSQLBrowser'); DeleteService('WinpowerRMIIDriverT'); DeleteService('WinpowerMSMQTriggersNla'); DeleteService('WinpowermonitorNtmsSvcAdobeAlerter'); DeleteService('WinpowermonitorNtmsSvc'); DeleteService('WinpowermonitordmserverRasAuto'); DeleteService('WinpowermonitordmserverNtmsSvc'); DeleteService('Winpowermonitordmserver'); DeleteService('winmgmtSQLWriterTlntSvrFirebirdServerDefaultInstance'); DeleteService('winmgmtSQLWriter'); DeleteService('winmgmtRDSessMgrWudfSvc'); DeleteService('WebClientdmadmin'); DeleteService('VMAuthdServicedmadmin'); DeleteService('VMAuthdServiceCOMSysApp'); DeleteService('TrkWks 5'); DeleteService('TlntSvrFirebirdServerDefaultInstance'); DeleteService('TlntSvraspnet_state'); DeleteService('ThemesNtmsSvc'); DeleteService('ThemesNetTcpPortSharing'); DeleteService('TapiSrvWinpowerRMI'); DeleteService('StarWindServiceAEFirebirdServerDefaultInstanceShellHWDetectionmsvsmon90'); DeleteService('StarWindServiceAEDcomLaunch'); DeleteService('srserviceSQLWriter'); DeleteService('SQLBrowserPolicyAgentNtLmSsp'); DeleteService('SQLBrowseraspnet_state'); DeleteService('ShellHWDetectionmsvsmon90'); DeleteService('ServiceLayerTrkWks'); DeleteService('seclogonmsvsmon90'); DeleteService('ScheduleTrkWks'); DeleteService('RSVPsrservice'); DeleteService('RemoteRegistryAlerterEventSystemSQLBrowser'); DeleteService('RDSessMgrWudfSvc'); DeleteService('ProtectedStorageVMAuthdServicedmadminClipSrv'); DeleteService('ProtectedStorageVMAuthdServicedmadmin'); DeleteService('ProtectedStorageMSIServerwinmgmtScheduleTrkWks'); DeleteService('ProtectedStorageMSIServerwinmgmt'); DeleteService('ProtectedStorageMSIServer Licensing Service'); DeleteService('ProtectedStorageMSIServer'); DeleteService('ProtectedStoragea2AntiMalware'); DeleteService('pr2appgbSQLBrowser'); DeleteService('pr2appgbRasAuto'); DeleteService('PolicyAgentNtLmSsp'); DeleteService('pgsql-8.2FirebirdGuardianDefaultInstance'); DeleteService('NtLmSspMDMW32TimeShellHWDetectionmsvsmon90'); DeleteService('NtLmSspMDMW32Time'); DeleteService('NtLmSspMDMAlerterclr_optimization_v2.0.50727_32'); DeleteService('NtLmSspMDM'); DeleteService('Nla Mobile Device'); DeleteService('Netmanlanmanserver'); DeleteService('Netlogonhkmsvc'); DeleteService('NetDDEdsdm 5'); DeleteService('NetDDE 5'); DeleteService('napagentwinmgmtSQLWriter'); DeleteService('MSSQL$SQLEXPRESSWmi'); DeleteService('MSSQL$SQLEXPRESSAppMgmtRSVPsrservice'); DeleteService('MSMQTriggersose'); DeleteService('MSMQTriggersNla'); DeleteService('MSMQMDM'); DeleteService('MSMQCiSvcMSMQCiSvc'); DeleteService('MSMQCiSvc NAT Service'); DeleteService('MSMQCiSvc'); DeleteService('mnmsrvc 5'); DeleteService('MessengerAlerterEventSystemSQLBrowser'); DeleteService('MDMRSVPsrservice'); DeleteService('HTTPFilterEapHost'); DeleteService('HidServxmlprov'); DeleteService('helpsvcpr2appgbRasAuto'); DeleteService('FLEXnetWinpowermonitordmserverNtmsSvc'); DeleteService('FirebirdServerDefaultInstanceShellHWDetectionmsvsmon90'); DeleteService('EventSystemSQLBrowserSQLBrowser'); DeleteService('EventSystemSQLBrowserBITS'); DeleteService('EventSystemSQLBrowser'); DeleteService('ERSvcTlntSvrFirebirdServerDefaultInstance'); DeleteService('dmadminstisvc'); DeleteService('DcomLaunchMSMQ'); DeleteService('COMSysAppRDSessMgrWudfSvc'); DeleteService('clr_optimization_v2.0.50727_32 Mobile Device'); DeleteService('ClipSrvRemoteRegistryAlerterEventSystemSQLBrowser'); DeleteService('BrowserMSMQMDM'); DeleteService('AudioSrvnapagent'); DeleteService('AtiThemesHTTPFilter'); DeleteService('AtiThemes'); DeleteService('aspnet_stateMSSQL$SQLEXPRESS'); DeleteService('aspnet_stateaspnet_state'); DeleteService('AppMgmtRSVPsrservice'); DeleteService('Alerterose'); DeleteService('AlerterEventSystemSQLBrowserstisvc'); DeleteService('AlerterEventSystemSQLBrowser'); DeleteService('Alerterclr_optimization_v2.0.50727_32RSVP'); DeleteService('Alerterclr_optimization_v2.0.50727_32'); DeleteService('AdobeAudioSrv'); DeleteService('AdobeAlerter'); DeleteFile('srv.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\ati0bhxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati1ntxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati1ryxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati2cjxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati2ubxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati4vcxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati5kqxx.sys'); DeleteFile('C:\WINDOWS\System32\rs32net.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','rs32net'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','rs32net'); DeleteFile('C:\WINDOWS\system32\braviax.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','braviax'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','braviax'); DeleteFile('C:\WINDOWS\system32\bthprops.cpl:eRq3JB:$DATA'); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); DeleteFile('H:\autorun.inf'); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), 'C:\WINDOWS\Cursors\size3_m.cur:eRq3JB', '')); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), ',,', ',')); DeleteFileMask('%tmp% ','*.* ',true ); BC_ImportDeletedList; ExecuteSysClean; ExecuteWizard('TSW', 3, 3, true); ExecuteWizard('SCU', 3, 3, true); BC_Activate; RebootWindows(true); end.
3. Выполните скрипт в AVZ:
Загрузите файл quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=67898Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
4. Повторите логи.
Сердце решает кого любить... Судьба решает с кем быть...
Quarantinу.zip отправил. Avast все еще заблокирован. Логи:
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
После выполнения скрипта компьютер перезагрузится!Код:begin SetAVZGuardStatus(True); DeleteFile('srv.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\ati0bhxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati1ntxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati1ryxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati2cjxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati2ubxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati4vcxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati5kqxx.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('ati5kqxx'); BC_DeleteSvc('ati4vcxx'); BC_DeleteSvc('ati2ubxx'); BC_DeleteSvc('ati2cjxx'); BC_DeleteSvc('ati1ryxx'); BC_DeleteSvc('ati1ntxx'); BC_DeleteSvc('ati0bhxx'); BC_DeleteSvc('WMPNetworkSvcWudfSvc'); BC_DeleteSvc('WinpowermonitordmserverNtmsSvc'); BC_DeleteSvc('Winpowermonitordmserver'); BC_DeleteSvc('winmgmtSQLWriter'); BC_DeleteSvc('WebClientdmadmin'); BC_DeleteSvc('VMAuthdServicedmadmin'); BC_DeleteSvc('ThemesNetTcpPortSharing'); BC_DeleteSvc('SQLBrowseraspnet_state'); BC_DeleteSvc('ScheduleTrkWks'); BC_DeleteSvc('RSVPsrservice'); BC_DeleteSvc('RemoteRegistryAlerterEventSystemSQLBrowser'); BC_DeleteSvc('RDSessMgrWudfSvc'); BC_DeleteSvc('ProtectedStorageMSIServerwinmgmt'); BC_DeleteSvc('ProtectedStorageMSIServer'); BC_DeleteSvc('pr2appgbRasAuto'); BC_DeleteSvc('pgsql-8.2FirebirdGuardianDefaultInstance'); BC_DeleteSvc('NtLmSspMDMW32Time'); BC_DeleteSvc('NtLmSspMDM'); BC_DeleteSvc('MSMQMDM'); BC_DeleteSvc('MSMQCiSvcMSMQCiSvc'); BC_DeleteSvc('MSMQCiSvc'); BC_DeleteSvc('mnmsrvc 5'); BC_DeleteSvc('MessengerAlerterEventSystemSQLBrowser'); BC_DeleteSvc('HidServxmlprov'); BC_DeleteSvc('EventSystemSQLBrowserSQLBrowser'); BC_DeleteSvc('EventSystemSQLBrowser'); BC_DeleteSvc('dmadminstisvc'); BC_DeleteSvc('AudioSrvnapagent'); BC_DeleteSvc('AtiThemes'); BC_DeleteSvc('Alerterose'); BC_DeleteSvc('AlerterEventSystemSQLBrowser'); BC_DeleteSvc('Alerterclr_optimization_v2.0.50727_32'); BC_DeleteSvc('AdobeAudioSrv'); BC_DeleteSvc('AdobeAlerter'); BC_Activate; RebootWindows(true); end.
3. Повторите лог virusinfo_syscheck.
Сердце решает кого любить... Судьба решает с кем быть...
Вручную удалил из реестра ограничение на запуск.
Лог:
Удалите остатки NOD32 http://virusinfo.info/showthread.php?t=16646
Ничего зловредного в логах не увидела. Проблема решена?
Сердце решает кого любить... Судьба решает с кем быть...
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\bthprops.cpl:erq3jb:$data - Packed.Win32.Krap.w ( DrWEB: Trojan.Winlock.938, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\sdra64.exe - Packed.Win32.Krap.w ( DrWEB: Trojan.Packed.19647, AVAST4: Win32:Bredolab-BR [Trj] )
Уважаемый(ая) NorthPole, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.