Новая модификация данного вируса (отправьте смс), текст на черном фоне. В реестре в userinit был путь на c:\windows\system32\twex.exe отложенное удаление файла не помогло, в безопасном режиме компьютер загружается, еще 3 таких компьютера в сети.
Printable View
Новая модификация данного вируса (отправьте смс), текст на черном фоне. В реестре в userinit был путь на c:\windows\system32\twex.exe отложенное удаление файла не помогло, в безопасном режиме компьютер загружается, еще 3 таких компьютера в сети.
А еще два нужных лога предоставьте
И логи стоит сделать без работающего CureIt
С Вами сожительствует еще и Кидо. Такой лог тоже сделайте [url]http://virusinfo.info/showthread.php?t=40118[/url]
вот
Всплыло другое ;)
Пофиксить в HiJack
[code] R3 - Default URLSearchHook is missing
F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
[/code]
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\SKYNETjrhkdfbh.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\SKYNETjrhkdfbh.sys');
QuarantineFile('C:\WINDOWS\system32\SKYNETcwugbpof.dat','');
DeleteFile('C:\WINDOWS\system32\SKYNETcwugbpof.dat');
QuarantineFile('C:\WINDOWS\system32\SKYNETfaxptoru.dll','');
DeleteFile('C:\WINDOWS\system32\SKYNETfaxptoru.dll');
QuarantineFile('C:\WINDOWS\system32\SKYNEToucifomk.dat','');
DeleteFile('C:\WINDOWS\system32\SKYNEToucifomk.dat');
QuarantineFile('C:\WINDOWS\system32\SKYNETwphbeklk.dll','');
DeleteFile('C:\WINDOWS\system32\SKYNETwphbeklk.dll');
QuarantineFile('csrcs.exe','');
DeleteFile('csrcs.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
[code]gmer.exe -del service SKYNETwotkxhva
gmer.exe -del file "C:\WINDOWS\system32\drivers\SKYNETjrhkdfbh.sys"
gmer.exe -del file "C:\WINDOWS\system32\SKYNETwphbeklk.dll"
gmer.exe -del file "C:\WINDOWS\system32\SKYNEToucifomk.dat"
gmer.exe -del file "C:\WINDOWS\system32\SKYNETfaxptoru.dll"
gmer.exe -del file "C:\WINDOWS\system32\SKYNETcwugbpof.dat"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\SKYNETwotkxhva"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\SKYNETwotkxhva"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\SKYNETwotkxhva"
gmer.exe -reboot[/code]И запустите cleanup.bat
Сделать весь комплект новых логов по правилам + новый лог gmer (по возможности в обычном режиме)
После загрузки в обычном режиме.. Спасибо Вам огромное, компьютер разблокирован... вылечил еще 1 комп. Но, последний пролечить не могу, менял названия файлов в скрипте, на те которые на нем(другие названия ) но не получилось... можно выложить логи с него в эту же тему? что бы темы не плодить..
за карантин в теме карточку.
если от другой системы логи сюда приклеите, ещё одну получите.
virusinfo_syscure.zip не хватает в теме.
По второму приложению правил, найдите и пришлите:
C:\WINDOWS\system32\drivers\mgnt.sys
C:\Temp\aujasnkj.sys
P.S. уже не в первый раз замечаю у вас карантин в теме, без карточки видно не понятно.
Пофиксить в HiJack
[code] F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k [/code]
Сделать новый лог HiJack
Другой компьютер - другая тема
Извините торопился, не прочитал до конца правила(( теперь знаю... по этому компьютеру смогу отправить завтра.