-
Junior Member
- Вес репутации
- 58
комп, весь такой заразный...фу...
H!
В сэйвмод КуреИт не запускается.
При попытке запустить АВЗ стреляется эксплорер и в нормальном режиме и в сэйвмоде. потом стало даже при наведении курсора на папку с АВЗ это присходить. АВЗ запустил из диспетчера задач без эксплорера. То же самое и с хайджеком. пробовал переименовывать файлы - не помогло.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключите Системное восстановление!!! как- посмотреть можно тут
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('C:\Documents and Settings\Тимошенко\Local Settings\Temp\~DF5DB5.tmp','');
QuarantineFile('c:\windows\system32\mbpqxih.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\s7siiur.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\icbptcx.exe','');
DeleteFile('\\?\globalroot\systemroot\system32\icbptcx.exe');
DeleteFile('\\?\globalroot\systemroot\system32\s7siiur.exe');
DeleteFile('c:\windows\system32\mbpqxih.exe');
DeleteFile('C:\Documents and Settings\Тимошенко\Local Settings\Temp\~DF5DB5.tmp');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(20);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 58
-
- удалите в MBAM
Код:
Заражённые ключи в реестре:
HKEY_CLASSES_ROOT\CLSID\{1408E208-2AC1-42D3-9F10-78A5B36E05AC} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9D64F819-9380-8473-DAB2-702FCB3D7A3E} (Trojan.Ransom) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494E6CEC-7483-A4EE-0938-895519A84BC7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494E6CEC-7483-A4EE-0938-895519A84BC7} (Backdoor.Bot) -> No action taken.
Заражённые параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Value: option_1 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Value: option_2 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Value: option_3 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Value: UID -> No action taken.
Заражённые папки:
c:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.
Заражённые файлы:
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\4S4VJA1V\eret[1].png (Extension.Mismatch) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\4S4VJA1V\ntkst[1].png (Extension.Mismatch) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\HSUOB670\jrfz[1].jpg (Extension.Mismatch) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\N5LXMD00\zchvsm[1].jpg (Extension.Mismatch) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\YDS3TCYM\hnebbrw[1].png (Extension.Mismatch) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\YDS3TCYM\mtelao[1].gif (Extension.Mismatch) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\YDS3TCYM\sioues[1].png (Extension.Mismatch) -> No action taken.
c:\documents and settings\тимошенко\application data\avdrn.dat (Malware.Trace) -> No action taken.
c:\program files\common files\keylog.txt (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
c:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
c:\WINDOWS\system32\lowsec\user.ds.lll (Stolen.data) -> No action taken.
- Выполните скрипт в AVZ
Код:
begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFileMask('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5', '*.*', true);
end.
- Сделайте повторный лог virusinfo_syscheck.zip;
- Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 58
-
- Выполните скрипт в AVZ
Код:
begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('c:\documents and settings\тимошенко\application data\avdrn.dat');
end.
Что с проблемой?
-
-
Junior Member
- Вес репутации
- 58
avz пускается нормально в штатном режиме.
проблем пока не наблюдается.
Спасибо!
-
Обновите систему
- Поставте все последние обновления системы Windows - тут
- поставте Adobe Reader 9.4 или удалите старый.
-
-
А также
Смените все пароли
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 10
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\mbpqxih.exe - Backdoor.Win32.Shiz.atb ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Heur.FKP.1, AVAST4: Win32:MalOb-IJ [Cryp] )
-