Здравствуйте! помогите с лечением последствий вируса!
Здравствуйте! помогите с лечением последствий вируса!
Здравствуйте!
Пофиксите в HijackThis:
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):Код:F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\l911G5G.exe,
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('%system32%\l911G5G.exe',''); QuarantineFile('D:\WINDOWS\system32\ehhvstmcg.dll',''); QuarantineFile('D:\WINDOWS\system32\mssfc.dll',''); DeleteFile('%system32%\l911G5G.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
вот высылаю
Выполните скрипт
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('D:\WINDOWS\system32\ehhvstmcg.dll',''); DeleteFile('D:\WINDOWS\system32\mssfc.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Сделайте новый лог virusinfo_syscheck.zip
продолжение
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); DeleteFile('c:\ehhvstmcg.dll'); DeleteFile('D:\WINDOWS\system32\ehhvstmcg.dll'); QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll',''); RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak'); CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll'); DeleteFile('C:\WINDOWS\System32\sfcfiles.bak'); DeleteFile('D:\WINDOWS\system32\mssfc.dll'); RegKeyStrParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', ''); BC_ImportAll; ExecuteSysClean; BC_DeleteFile('C:\WINDOWS\System32\sfcfiles.bak'); BC_DeleteFile('D:\WINDOWS\system32\mssfc.dll'); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторный лог virusinfo_syscheck.zip;
вот...
Карантинная папка пуста. вот такое вижу сообщение при выполнении скрипта
Ошибка карантина файла, попытка прямого чтения (d:\windpws\system32\sfcfiles.dll)
Карантин с использованием прямого чтения - ошибка
Выполните скрипт в AVZ
После перезагрузки сделайте новый логКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\System32\drivers\sfc.sys'); DeleteFile('D:\WINDOWS\system32\mssfc.dll'); DeleteService('sfc'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
вот и привела меня самодеятельность к наверное плохому...
решил удалить (вернее kill ' ом убить) через gmer два файла, которые попали в карантин: sfsfiles.dll и mssfc.dll (вроде как скрипты AVZ как мне показалось не удаляли их).
После этого винда не грузится
вот кривые мои руки может как ERD Commander поможет вернуть загрузку?
Пробуйте загрузку последней удачной конфигурации
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
не загружается ни в каком режиме.
stop ошибка с000007b и далее крякозябры, но присутствует упоминание файла sfcfiles.dll
хотя сам файл в папке \system32 присутствует
Почитал про утилиту gmer, мнения разные, но то, что результаты его работы вызывают иногда bsod ошибки, встречаются. может кто сталкивался с таким "явлением"? и как вылечить регистр erd командером, какие ветки копать?
если последствия моих неумелых действий с gmer не поддаются лечению, то тему можно закрыть с пометкой "сам пользователь дурак"
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\ehhvstmcg.dll - Worm.Win32.NeKav.lg ( DrWEB: Trojan.Packed.20343, NOD32: Win32/AutoRun.Delf.EL worm, AVAST4: Win32:Malware-gen )
- d:\windows\system32\mssfc.dll - Trojan-Spy.Win32.Agent.bgaj
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) GenK, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.