В безопасном режиме просканировал Dweb Curent
после перезагрузки вирусы появляются
После выполнения скрипта в AVZ только virusinfo_syscheck.zip
Помогите плз
Вирусы
В безопасном режиме просканировал Dweb Curent
после перезагрузки вирусы появляются
После выполнения скрипта в AVZ только virusinfo_syscheck.zip
Помогите плз
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\system32\userini.exe'); QuarantineFile('C:\Documents and Settings\lyskavets\Application Data\yjty.exe',''); DeleteFile('C:\Documents and Settings\lyskavets\Application Data\yjty.exe'); QuarantineFile('C:\WINDOWS\system32\userini.exe',''); QuarantineFile('c:\windows\explorer.exe:userini.exe:$DATA',''); DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA'); DeleteFile('C:\WINDOWS\system32\userini.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini'); BC_ImportAll; ExecuteSysClean; RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman '); ExecuteWizard('TSW', 2, 2, true) ExecuteWizard('SCU', 2, 2, true); ExecuteRepair(11); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- скачайте новую версию AVZ - 4.34
- обновите базы AVZ
- Сделайте повторные логи по правилам п.1-3 раздела Диагностика.(virusinfo_syscure.zip;virusinfo_sysch eck.zip; hijackthis.log)
Скрипт выполнил
Перезагрузился
карантин сейчас пришлю
скачал новый avz+обновил
только скрипт "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" до конца не проходит - вылетает avz
сделал скрипт №2
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\windows\explorer.exe:userini.exe:$DATA',''); QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\ksi32sk.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\eoesis.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\amd64si.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys',''); QuarantineFile('C:\Documents and Settings\lyskavets\Application Data\Microsoft\winuhaz.exe',''); DeleteService('acpi32'); DeleteService('odoodfouaucau'); DeleteService('asc3360pr'); DeleteService('amd64si'); DeleteService('ati64si'); DeleteService('ksi32sk'); DeleteService('i386si'); DeleteService('fips32cup'); DeleteService('nicsk32'); DeleteService('netsik'); DeleteService('systemntmi'); DeleteService('port135sik'); DeleteService('securentm'); DeleteFile('C:\Documents and Settings\lyskavets\Application Data\Microsoft\winuhaz.exe'); DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys'); DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys'); DeleteFile('C:\WINDOWS\system32\drivers\eoesis.sys'); DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys'); DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys'); DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys'); DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys'); DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys'); DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys'); DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys'); DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys'); DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys'); DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA'); DeleteFile('c:\windows\explorer.exe:userini.exe'); DeleteFile('C:\WINDOWS\system32\userini.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Профиксите в HijackThis, что останется
- Сделайте повторные логи по правилам п.1-3 раздела Диагностика.(virusinfo_syscure.zip;virusinfo_sysch eck.zip; hijackthis.log)Код:O4 - HKLM\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe O4 - HKCU\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe O4 - HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe O20 - Winlogon Notify: cbssreg - C:\WINDOWS\
А также сделайте лог МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Все сделал
В в HijackThis, осталось все - пофиксил
Но AVZ 3 стандартный скрипт не проходит
Сделал 2-й
Карантин прослал
вот этот еще лог сделайтеСообщение от thyrex
Вот лог
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('C:\WINDOWS\Temp\wpv091279606818.exe',''); QuarantineFile('C:\WINDOWS\system32\wbem\grpconv.exe',''); QuarantineFile('C:\WINDOWS\system32\wbem\grpconv.exe',''); DeleteFile('C:\WINDOWS\Temp\wpv091279606818.exe'); DeleteFile('C:\WINDOWS\system32\wbem\grpconv.exe'); QuarantineFile('C:\WINDOWS\system32\winresponse32.exe',''); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- удалите в MBAM
- Сделайте повторный лог MBAMКод:Зараженные ключи в реестре: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ws2_32sik (Rootkit.Agent) -> No action taken. Зараженные параметры в реестре: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\host (Malware.Trace) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\id (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\kr_done1 (Malware.Trace) -> No action taken. Зараженные папки: C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken. Зараженные файлы: C:\WINDOWS\system32\kr_done1 (Malware.Trace) -> No action taken. C:\Documents and Settings\lyskavets\Application Data\wiaservg.log (Malware.Trace) -> No action taken.
Лог прикрепил
Все сделал
карантин прислал
что делать ?
- удалите в MBAM
повторите логКод:Зараженные ключи в реестре: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ws2_32sik (Rootkit.Agent) -> No action taken.
Сделал логи
и остальные тоже
В логах подозрительного нет.
Обновите систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
* Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
После обновления:
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
На этом можно считать лечение законченным.
- Проведите процедуру, которая описана в первом сообщении тут.
Спасибо всем !!
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\lyskavets\application data\yjty.exe - Email-Worm.Win32.Iksmas.htj ( DrWEB: Win32.HLLW.Autoruner.22584, BitDefender: Trojan.Generic.4539190, AVAST4: Win32:Bredolab-DO [Trj] )
- c:\windows\explorer.exe:userini.exe:$data - Email-Worm.Win32.Joleee.fbe
- c:\windows\explorer.exe:userini.exe:$data - Email-Worm.Win32.Joleee.fbd
- c:\windows\system32\userini.exe - Email-Worm.Win32.Joleee.fbc ( DrWEB: Trojan.Spambot.6788, BitDefender: Gen:Variant.Bredo.2, AVAST4: Win32:Bredolab-DM [Trj] )
- c:\windows\system32\wbem\grpconv.exe - Backdoor.Win32.Bredolab.fsy ( DrWEB: Trojan.Botnetlog.158, BitDefender: Trojan.Generic.KD.21139 )
Уважаемый(ая) Игорь Н., наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
