-
Junior Member
- Вес репутации
- 50
Rootkit.win32.Pakes.zo
Здравствуйте!Замучил меня вирус Rootkit.win32.Pakes.zo
Каждый день захожу, каспер его находит. Иногда удаляет, а иногда жалуется, что не может удалить и просит ребутнуть комп. После ребута снова или удаляет или жауется, что после ребута удалит!
Как тут было написано, все сделал (http://virusinfo.info/pravila.html)
Помогите пожалуйста!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Код:
R3 - URLSearchHook: (no name) - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file)
F2 - REG:system.ini: UserInit=\WINDOWS\system32\userinit.exe
O3 - Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
TerminateProcessByName('c:\windows\system32\fsusbexservice.exe');
QuarantineFile('c:\windows\system32\fsusbexservice.exe','');
DeleteService('dfwxctnk');
QuarantineFile('C:\WINDOWS\System32\Drivers\dfwxctnk.sys','');
DeleteService('zvyfzobm');
QuarantineFile('C:\WINDOWS\System32\Drivers\zvyfzobm.sys','');
DeleteService('vahzycwy');
QuarantineFile('C:\WINDOWS\System32\Drivers\vahzycwy.sys','');
QuarantineFile('C:\Documents and Settings\Admin\dku.exe','');
QuarantineFile('C:\WINDOWS\system32\sysguard.exe','');
DeleteFile('C:\WINDOWS\system32\sysguard.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','System Profiling');
DeleteFile('C:\Documents and Settings\Admin\dku.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSConfig');
DeleteFile('C:\WINDOWS\System32\Drivers\vahzycwy.sys');
BC_DeleteSvc('vahzycwy');
DeleteFile('C:\WINDOWS\System32\Drivers\zvyfzobm.sys');
BC_DeleteSvc('zvyfzobm');
DeleteFile('C:\WINDOWS\System32\Drivers\dfwxctnk.sys');
BC_DeleteSvc('dfwxctnk');
DeleteFileMask('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5','*.*',true);
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Повторите логи
-
-
Junior Member
- Вес репутации
- 50
Сообщение от
Olejah
- Повторите логи
Cделал!
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteService('nicdqfoo');
QuarantineFile('C:\WINDOWS\System32\Drivers\nicdqfoo.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\nicdqfoo.sys');
BC_DeleteSvc('nicdqfoo');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Повторите лог virusinfo_syscheck.zip
-
-
Junior Member
- Вес репутации
- 50
Сообщение от
Olejah
- Повторите лог virusinfo_syscheck.zip
Повторил!
P.s. пока что незамечен Руткит больше. Вроде как вылечился комп! СпасибО!!!
-
В логе плохого не вижу. Проблема решена?
-
-
Junior Member
- Вес репутации
- 50
Сообщение от
Olejah
В логе плохого не вижу. Проблема решена?
Да, Решена, большое спасибо!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 18
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\admin\\dku.exe - Backdoor.Win32.Tofsee.d ( DrWEB: Trojan.Siggen2.5286, BitDefender: Trojan.Generic.4960092, AVAST4: Win32:Malware-gen )
- c:\\documents and settings\\user\\application data\\microsoft\\conhost.exe - Backdoor.Win32.Gbot.jmp ( DrWEB: Trojan.DownLoader3.42373, BitDefender: Gen:Trojan.Heur.KS.1, AVAST4: Win32:Cybota [Trj] )
- c:\\docume~1\\user\\locals~1\\temp\\csrss.exe - Backdoor.Win32.Gbot.jmo ( DrWEB: Trojan.DownLoader3.49236, BitDefender: Gen:Trojan.Heur.KS.1, AVAST4: Win32:Cybota [Trj] )
-