Dobryj den
prociol sto nenado vypolniat ukazanija napisannyje dlia drugix komjuterov, poetomu pisu.
pri zagruzke kompjutera i periodiceski potom AVIRA vykidyvajet sto naiden trojan TR/Crypt.XDR.Gen stavliu galocku STERET no eto nepomogajet.
prosu pomoc, tolko jazykom poprosce tak kak ne vse specyficeskije vyrazenija ponimaju(propisat, vypolnit skrip, profiksit- taki ponimaju, no bez pojasnenij nesmogby vypolnit)
budu priznatelen za pomosc
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните пожалуйста правила.
prikrepil logi
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\regedit.exe',''); QuarantineFile('mbhpmjgo.dll',''); QuarantineFile('C:\WINDOWS\Temp\taskhost.exe',''); QuarantineFile('C:\WINDOWS\system32\msxslt3.exe',''); QuarantineFile('D:\SLAMSTAS\usb\failai.exe',''); QuarantineFile('c:\windows\system32\wuaucldt.exe',''); QuarantineFile('c:\windows\system32\config\systemprofile\wuaucldt.exe',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\cdrom.sys',''); QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Application Data\download2\svcnost.exe',''); DeleteFile('C:\WINDOWS\system32\config\systemprofile\Application Data\download2\svcnost.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','download'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','download'); DeleteFile('c:\windows\system32\config\systemprofile\wuaucldt.exe'); DeleteFile('c:\windows\system32\wuaucldt.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt'); DeleteFile('C:\WINDOWS\system32\msxslt3.exe'); DeleteFile('C:\WINDOWS\Temp\taskhost.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Session'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Session'); DeleteFile('mbhpmjgo.dll'); DeleteFile('C:\WINDOWS\system32\regedit.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32'); RegKeyStrParamWrite('HKLM','system\currentcontrolset\control\securityproviders','SecurityProviders', 'msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Последний раз редактировалось thyrex; 07.11.2010 в 03:04.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
skript vypolnil, vyslal karantin.scias sdelaju logi
povtornyje logi
C:\WINDOWS\system32\DRIVERS\cdrom.sys и D:\SLAMSTAS\usb\failai.exe есть на компьютере? (файлы могут быть скрытыми)
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\Setup\svchost.exe',''); DeleteService('svchost32'); DeleteFile('C:\WINDOWS\system32\Setup\svchost.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Izviniajus za otsutstvije- byl v komandirovke.
oba ukazannyx faila poisk nasol, no v drugix mestax.
skript vypolnil, vot logi:
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Выполните скрипт в АВЗ -Код:O2 - BHO: [email protected] - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); TerminateProcessByName('c:\windows\temp\_ex-08.exe'); QuarantineFile('C:\WINDOWS\Temp\_ex-08.exe',''); DeleteFile('C:\WINDOWS\Temp\_ex-08.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sniffer'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- выполните такой скрипт
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Повторите лог virusinfo_syscheck.zip
vse ukazanija vypolnil, tolko antivirus AVIRA nesmog vykliucit-toka sdelal jego neaktivnym,
Что с проблемой? Вы не могли бы писать русскими буквами.
изначальная проблема (TR/Crypt.XDR.Gen) пропала. большое спасибо Olejah и thyrex.
до исполнения последних скриптов были разные глюки, но после скриптов все хорошо
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 24
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\msxslt3.exe - Trojan.Win32.VBKrypt.agxx ( DrWEB: Trojan.DownLoader1.28125, BitDefender: Trojan.Generic.KDV.49459, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\\windows\\temp\\taskhost.exe - Trojan-Banker.Win32.AutoIt.b ( DrWEB: Trojan.KillProc.2529 )
Уважаемый(ая) malamut, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
