Добрый день!
Помогите почистить компьютер от трояна. Логи сделал и прикрепил к сообщению.
Добрый день!
Помогите почистить компьютер от трояна. Логи сделал и прикрепил к сообщению.
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); QuarantineFile('C:\Program Files\internet explorer\setupapi.dll',''); QuarantineFile('C:\WINDOWS\system32\smphost.exe',''); QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll',''); QuarantineFile('C:\Documents and Settings\User\Application Data\netprotocol.exe',''); QuarantineFile('c:\windows\system32\smphost.exe',''); TerminateProcessByName('c:\windows\system32\smphost.exe'); QuarantineFile('c:\documents and settings\user\application data\netprotocol.exe',''); QuarantineFile('c:\documents and settings\user\application data\xtaxl1c2r1pcrxwdi3ktmdyb1usrf3o2\csrss.exe',''); TerminateProcessByName('c:\documents and settings\user\application data\xtaxl1c2r1pcrxwdi3ktmdyb1usrf3o2\csrss.exe'); QuarantineFile('c:\docume~1\user\locals~1\temp\6622010.exe',''); TerminateProcessByName('c:\docume~1\user\locals~1\temp\6622010.exe'); DeleteFile('c:\docume~1\user\locals~1\temp\6622010.exe'); DeleteFile('c:\documents and settings\user\application data\xtaxl1c2r1pcrxwdi3ktmdyb1usrf3o2\csrss.exe'); DeleteFile('c:\documents and settings\user\application data\netprotocol.exe'); DeleteFile('c:\windows\system32\smphost.exe'); DeleteFile('C:\Documents and Settings\User\Application Data\netprotocol.exe'); DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','smphost'); DeleteFile('C:\WINDOWS\system32\smphost.exe'); DeleteFile('C:\Program Files\internet explorer\setupapi.dll'); QuarantineFile('%windir%\system32\Drivers\sfc.SYS',''); QuarantineFile('%windir%\system32\sfcfiles.dll',''); if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then begin RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak'); CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll'); AddToLog('Замена sfcfiles.dll успешно произведена из кеша'); end else begin AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных или отсутствует'); if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then begin RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak'); CopyFile('%windir%\ServicePackFiles\i386\sfcfiles.dll','%windir%\system32\sfcfiles.dll'); AddToLog('Замена sfcfiles.dll успешно произведена из i386'); end else begin AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных или отсутствует'); end; end; //sfcfiles.log сохранится в папке, из которой был запущен AVZ DeleteFile('%windir%\system32\drivers\sfc.sys'); DeleteFile('%windir%\system32\sfcfiles.bak'); QuarantineFile('%windir%\system32\mssfc.dll',''); DeleteFile('%windir%\system32\mssfc.dll'); SaveLog('sfcfiles.log'); BC_ImportALL; ExecuteSysClean; ExecuteRepair(16); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); BC_DeleteFile('%windir%\System32\sfcfiles.bak'); BC_DeleteSvc('sfc'); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- файл sfcfiles.log прикрепите к сообщению
- Сделайте лог MBAM
Те логи, которые удалось сделать, прикрепил к сообщению. MBAM будет чуточку позднее.
Файл с карантином почему-то не могу загрузить, как положено. Можно ли его прикрепить к сообщению или дальше пробововать согласно инструкции?
P.S. После выполнения скрипта - компьютер не смог перезагрузиться. Синий экран - STOP 0x0000008E Beginning dump of physical memory
- карантин пришлите
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); if FileExists ('%windir%\system32\sfcfiles.dll') then begin if CheckFile('%windir%\system32\sfcfiles.dll')=3 then begin QuarantineFile('%windir%\system32\Drivers\sfc.SYS',''); QuarantineFile('%windir%\system32\sfcfiles.dll',''); QuarantineFile('%windir%\system32\mssfc.dll',''); DeleteFile('%windir%\system32\drivers\sfc.sys'); DeleteFile('%windir%\system32\mssfc.dll'); AddToLog('%windir%\system32\sfcfiles.dll прошел по базе безопасных'); end else begin AddToLog('%windir%\system32\sfcfiles.dll не прошел по базе безопасных'); QuarantineFile('%windir%\system32\Drivers\sfc.SYS',''); QuarantineFile('%windir%\system32\sfcfiles.dll',''); QuarantineFile('%windir%\system32\mssfc.dll',''); DeleteFile('%windir%\system32\drivers\sfc.sys'); DeleteFile('%windir%\system32\mssfc.dll'); RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak'); if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then begin if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then begin CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll'); AddToLog('Замена sfcfiles.dll успешно произведена из кеша'); end else begin AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных'); SaveLog('sfcfiles.log'); if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then begin if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then begin CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll'); AddToLog('Замена sfcfiles.dll успешно произведена из i386'); end else begin AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных'); end; end else begin AddToLog('Файл sfcfiles.dll отсутствует в i386'); end; end; end else begin AddToLog('Файл sfcfiles.dll отсутствует в кеше'); if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then begin if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then begin CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll'); AddToLog('Замена sfcfiles.dll успешно произведена из i386'); end else begin AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных'); end; end else begin AddToLog('Файл sfcfiles.dll отсутствует в i386'); end; end; DeleteFile('%windir%\system32\sfcfiles.bak'); end; end else begin AddToLog('файл sfcfiles.dll отсутствует в %windir%\system32\'); QuarantineFile('%windir%\system32\Drivers\sfc.SYS',''); QuarantineFile('%windir%\system32\mssfc.dll',''); DeleteFile('%windir%\system32\drivers\sfc.sys'); DeleteFile('%windir%\system32\mssfc.dll'); if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then begin if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then begin CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll'); AddToLog('Замена sfcfiles.dll успешно произведена из кеша'); end else begin AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных'); SaveLog('sfcfiles.log'); if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then begin if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then begin CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll'); AddToLog('Замена sfcfiles.dll успешно произведена из i386'); end else begin AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных'); end; end else begin AddToLog('Файл sfcfiles.dll отсутствует в i386'); end; end; end else begin AddToLog('Файл sfcfiles.dll отсутствует в кеше'); SaveLog('sfcfiles.log'); if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then begin if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then begin CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll'); AddToLog('Замена sfcfiles.dll успешно произведена из i386'); end else begin AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных'); end; end else begin AddToLog('Файл sfcfiles.dll отсутствует в i386'); end; end; DeleteFile('%windir%\system32\sfcfiles.bak'); end; SaveLog('sfcfiles.log'); BC_ImportALL; ExecuteSysClean; BC_DeleteFile('%windir%\System32\sfcfiles.bak'); BC_DeleteSvc('sfc'); BC_Activate; RebootWindows(true); end.
- файл sfcfiles.log прикрепите к сообщению
При перезагрузке - появился тот же самый синий экран. Лог прикрепляю к сообщению. А файл с карантином отправить по-прежнему не могу (может вирус блокирует) через форму по ссылке вверху темы - могу отправить по электропочте (сообщите в ЛС куда отправить).
- Восстановите файл C:\WINDOWS\System32\sfcfiles.dll из дистрибутива или отсюда
- Сделайте повторный лог virusinfo_syscheck.zip;
Смените все пароли
Удалите в МВАМКод:Заражённые параметры в реестре: HKEY_CURRENT_USER\Software\Microsoft\bk (Malware.Trace) -> Value: bk -> No action taken. Заражённые папки: c:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken. Заражённые файлы: c:\program files\mozilla firefox\setupapi.dll (Trojan.Agent) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 29
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\user\\application data\\netprotocol.exe - Trojan-Dropper.Win32.Drooptroop.koy ( DrWEB: Trojan.Click1.29386, BitDefender: Trojan.Generic.KDV.113666, AVAST4: Win32:MalOb-IJ [Cryp] )
- c:\\documents and settings\\user\\application data\\xtaxl1c2r1pcrxwdi3ktmdyb1usrf3o2\\csrss.exe - Trojan-Banker.Win32.Banker.bfmf ( DrWEB: Trojan.DownLoader1.56202, BitDefender: Gen:Variant.Kazy.8559, AVAST4: Win32:Kryptik-YX [Trj] )
- c:\\docume~1\\user\\locals~1\\temp\\6622010.exe - Backdoor.Win32.Agent.bezn ( DrWEB: BackDoor.Siggen.27809, BitDefender: Trojan.Generic.KDV.113614, AVAST4: Win32:BHO-ADC [Trj] )
- c:\\program files\\internet explorer\\setupapi.dll - Trojan.Win32.Zapchast.cwd ( DrWEB: Trojan.WinSpy.967, BitDefender: Trojan.Generic.5397047, AVAST4: Win32:Patched-TI [Trj] )
- c:\\windows\\system32\\sfcfiles.dll - Trojan.Win32.Patched.lq ( DrWEB: Trojan.WinSpy.988, BitDefender: Gen:Variant.Kazy.5984, AVAST4: Win32:Small-NTF [Trj] )
- c:\\windows\\system32\\smphost.exe - Trojan-Spy.Win32.Lpxenur.dp ( DrWEB: Trojan.PWS.Spy.10095, BitDefender: Gen:Variant.Buzy.254, AVAST4: Win32:BHO-ADC [Trj] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) Dmitry_Che, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.