-
Junior Member
- Вес репутации
- 53
ПоследствияTrojan.Packed.20771
Перестали открываться сайты антивирусов, TheBat перестал забирать почту и "здох" нод32. DrWebСureit нашел Trojan.Packed.20771 - вроде как удалил. Поставил как основной антивирус DRWEB, он снова нашел этот вирус при полной проверке и снова удалил. Проверил опять - вроде всё чисто, но проблемы остались... Помогите пожалуйста.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключите компьютер от интернета, а также отключите антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\thumbs.db','');
QuarantineFile('c:\windows\system32\7b0ba0a7.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\zk1rouh.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\v6qysms.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\rjaxdyy.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\racj5ws.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\pqyrrao.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\owtkxba.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\njf78mk.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\mcyykwz.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\kk0w09m.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\h6pyhck.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\enyaxmy.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\dwcocyp.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\aj0ozcd.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\9zrjp2r.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\9jndgxv.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\4iglftn.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\3fmkvoi.exe','');
QuarantineFile('C:\WINDOWS\system32\servises.exe','');
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0567636135-6511428163-760613248-3175\nissan.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\cc2_io.sys','');
DeleteFile('C:\RECYCLER\S-1-5-21-0567636135-6511428163-760613248-3175\nissan.exe');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
DeleteFile('C:\WINDOWS\system32\servises.exe');
DeleteFile('\\?\globalroot\systemroot\system32\3fmkvoi.exe');
DeleteFile('\\?\globalroot\systemroot\system32\4iglftn.exe');
DeleteFile('\\?\globalroot\systemroot\system32\9jndgxv.exe');
DeleteFile('\\?\globalroot\systemroot\system32\9zrjp2r.exe');
DeleteFile('\\?\globalroot\systemroot\system32\aj0ozcd.exe');
DeleteFile('\\?\globalroot\systemroot\system32\dwcocyp.exe');
DeleteFile('\\?\globalroot\systemroot\system32\enyaxmy.exe');
DeleteFile('\\?\globalroot\systemroot\system32\h6pyhck.exe');
DeleteFile('\\?\globalroot\systemroot\system32\kk0w09m.exe');
DeleteFile('\\?\globalroot\systemroot\system32\mcyykwz.exe');
DeleteFile('\\?\globalroot\systemroot\system32\njf78mk.exe');
DeleteFile('\\?\globalroot\systemroot\system32\owtkxba.exe');
DeleteFile('\\?\globalroot\systemroot\system32\pqyrrao.exe');
DeleteFile('\\?\globalroot\systemroot\system32\racj5ws.exe');
DeleteFile('\\?\globalroot\systemroot\system32\rjaxdyy.exe');
DeleteFile('\\?\globalroot\systemroot\system32\v6qysms.exe');
DeleteFile('\\?\globalroot\systemroot\system32\zk1rouh.exe');
DeleteFile('c:\windows\system32\7b0ba0a7.exe');
DeleteFile('C:\thumbs.db');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','servises');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','servises');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам (virusinfo_syscheck.zip и hijackthis.log)
-
-
Junior Member
- Вес репутации
- 53
-
Пофиксите в HijackThis:
Код:
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\windows\system32\7b0ba0a7.exe,\\?\globalroot\systemroot\system32\njf78mk.exe,\\?\globalroot\systemroot\system32\zk1rouh.exe,\\?\globalroot\systemroot\system32\kk0w09m.exe,\\?\globalroot\systemroot\system32\pqyrrao.exe,\\?\globalroot\systemroot\system32\aj0ozcd.exe,\\?\globalroot\systemroot\system32\racj5ws.exe,\\?\globalroot\systemroot\system32\9zrjp2r.exe,\\?\globalroot\systemroot\system32\v6qysms.exe,\\?\globalroot\systemroot\system32\mcyykwz.exe,\\?\globalroot\systemroot\system32\4iglftn.exe,\\?\globalroot\systemroot\system32\h6pyhck.exe,\\?\globalroot\systemroot\system32\rjaxdyy.exe,\\?\globalroot\systemroot\system32\9jndgxv.exe,\\?\globalroot\systemroot\system32\dwcocyp.exe,\\?\globalroot\systemroot\system32\3fmkvoi.exe,\\?\globalroot\systemroot\system32\enyaxmy.exe,\\?\globalroot\systemroot\system32\owtkxba.exe,
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_2_0.dll (file missing)
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_2_0.dll (file missing)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
O4 - HKCU\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\RECYCLER\S-1-5-21-0567636135-6511428163-760613248-3175\nissan.exe');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
DeleteFile('C:\WINDOWS\system32\servises.exe');
DeleteFile('\\?\globalroot\systemroot\system32\3fmkvoi.exe');
DeleteFile('\\?\globalroot\systemroot\system32\4iglftn.exe');
DeleteFile('\\?\globalroot\systemroot\system32\9jndgxv.exe');
DeleteFile('\\?\globalroot\systemroot\system32\9zrjp2r.exe');
DeleteFile('\\?\globalroot\systemroot\system32\aj0ozcd.exe');
DeleteFile('\\?\globalroot\systemroot\system32\dwcocyp.exe');
DeleteFile('\\?\globalroot\systemroot\system32\enyaxmy.exe');
DeleteFile('\\?\globalroot\systemroot\system32\h6pyhck.exe');
DeleteFile('\\?\globalroot\systemroot\system32\kk0w09m.exe');
DeleteFile('\\?\globalroot\systemroot\system32\mcyykwz.exe');
DeleteFile('\\?\globalroot\systemroot\system32\njf78mk.exe');
DeleteFile('\\?\globalroot\systemroot\system32\owtkxba.exe');
DeleteFile('\\?\globalroot\systemroot\system32\pqyrrao.exe');
DeleteFile('\\?\globalroot\systemroot\system32\racj5ws.exe');
DeleteFile('\\?\globalroot\systemroot\system32\rjaxdyy.exe');
DeleteFile('\\?\globalroot\systemroot\system32\v6qysms.exe');
DeleteFile('c:\windows\system32\7b0ba0a7.exe');
DeleteFile('C:\thumbs.db');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RegKeyParamDel('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Пофиксить всё не смог т.к. не было этих пунктов: F2... - длинный адрес не вставлял и O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
O4 - HKCU\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe
Всё работает на данный момент.
-
Плохого не видно
Установите Internet Explorer 8 (даже если им не пользуетесь)
Обновите JavaRE
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-