Eset
говорить что
explorer.exe
winlogon.exe
Угроза
Win32/Bamital.EC троянская программа
очистка невозможно
Пожалуйста помогите.
Eset
говорить что
explorer.exe
winlogon.exe
Угроза
Win32/Bamital.EC троянская программа
очистка невозможно
Пожалуйста помогите.
Нам нужны логи по правилам:
http://virusinfo.info/showthread.php?t=1235
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Вот
Отключите Системное восстановление!!! как- посмотреть можно тут
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\windows\system32\winlogon.exe',''); QuarantineFile('c:\windows\explorer.exe',''); DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635613}'); QuarantineFile('C:\RECYCLER\S-51-9-25-3434476501-1642491965-601303314-1214\mprsvrh.exe',''); QuarantineFile('C:\WINDOWS\System32\winlogon.exe',''); DeleteService('tpoqgwue'); DeleteService('vlfrrqgy'); DeleteService('vsvqnxos'); DeleteService('wnzwmfvi'); DeleteService('xrcdqjts'); DeleteService('xtrerrnj'); QuarantineFile('C:\WINDOWS\System32\Drivers\xtrerrnj.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\xrcdqjts.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\wnzwmfvi.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\vsvqnxos.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\vlfrrqgy.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\tpoqgwue.sys',''); DeleteService('nstubzbu'); DeleteService('kgojpqut'); DeleteService('jhpsguja'); DeleteService('ivitfxoh'); QuarantineFile('C:\WINDOWS\System32\Drivers\kgojpqut.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\ivitfxoh.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\hnvxmzdp.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\futmxwxs.sys',''); DeleteService('hnvxmzdp'); DeleteService('futmxwxs'); QuarantineFile('C:\WINDOWS\System32\Drivers\ccqhkqab.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\attcbuvw.sys',''); DeleteService('ccqhkqab'); DeleteService('attcbuvw'); DeleteFile('C:\WINDOWS\System32\Drivers\attcbuvw.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ccqhkqab.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\futmxwxs.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\hnvxmzdp.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ivitfxoh.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\jhpsguja.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\kgojpqut.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\nstubzbu.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\tpoqgwue.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\vlfrrqgy.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\vsvqnxos.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\wnzwmfvi.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\xrcdqjts.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\xtrerrnj.sys'); DeleteFile('C:\RECYCLER\S-51-9-25-3434476501-1642491965-601303314-1214\mprsvrh.exe'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте лог Gmer
вот
кнопку Scan -нажимали?
ну да.
щас еще раз сделаю, полный скан. Может кто то к компу подходил, пока меня не было
Добавлено через 3 часа 34 минуты
При попутке сделать сканирование комп виснет.
Пробовал больше 5 раз.
Что делать?
Последний раз редактировалось dimonado; 29.12.2010 в 16:16. Причина: Добавлено
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:procedure WhatService(AServiceName : string); var dllname, servicekey : string; begin servicekey := 'SYSTEM\CurrentControlSet\Services\'+AServiceName; RegKeyResetSecurity('HKLM', servicekey); RegKeyResetSecurity('HKLM', servicekey+'\Parameters'); AddToLog('Description: '+RegKeyStrParamRead( 'HKLM', servicekey, 'Description')); AddToLog('DisplayName: '+RegKeyStrParamRead( 'HKLM', servicekey, 'DisplayName')); AddToLog('ImagePath: '+RegKeyStrParamRead( 'HKLM', servicekey, 'ImagePath')); dllname := RegKeyStrParamRead( 'HKLM', servicekey+'\Parameters', 'ServiceDll'); AddToLog('ServiceDll: '+dllname); QuarantineFile(dllname,''); end; begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; WhatService('lmgjmhkt'); BC_ImportAll; BC_Activate; SaveLog(GetAVZDirectory+'lmgjmhkt.log'); RebootWindows(true); end.
После перезагрузки выполните скрипт в AVZ:
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".Код:begin CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end.
Файл lmgjmhkt.log из папки AVZ приложите в теме.
Повторите пункт 2 раздела "Диагностика" правил и лог virusinfo_syscheck.zip приложите в теме.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Сделайте лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
вот
вот
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\lmgjmhkt\Parameters','ServiceDll'); DeleteFile('C:\WINDOWS\system32\btvgam.dll'); BC_ImportAll; ExecuteSysClean; BC_DeleteFile('C:\WINDOWS\system32\btvgam.dll'); BC_DeleteSvcReg('lmgjmhkt'); BC_Activate; RebootWindows(true); end.
такой лог сделайте
вот
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: Driver:: lmgjmhkt NetSvc:: lmgjmhkt Folder:: Registry:: [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Driver Control Manager v5.4] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Driver Control Manager v5.5] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Driver Control Manager v5.6] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Driver Control Manager v5.7] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Driver Control Manager v5.8] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Driver Control Manager v5.9] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Driver Control Manager v7.2] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Driver Control Manager v7.3] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "8861:TCP"=- FileLook:: DirLook::
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
.
- Удалите ComboFix
Обновите систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
* Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.тут
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 36
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) dimonado, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.