На днях Symantec стал постоянно выдавать сообщения об обнаружении в системе Hacktool.Rootkit. Сообщения появляются по нескольку раз в минуту. Помогите пожалуйста с удалением вируса.
Printable View
На днях Symantec стал постоянно выдавать сообщения об обнаружении в системе Hacktool.Rootkit. Сообщения появляются по нескольку раз в минуту. Помогите пожалуйста с удалением вируса.
[B]Вставьте все заражённые флешки, но не открывайте их в Проводнике, пока Вам не будет это разрешено.[/B]
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
[B]- Антивирус и Файрволл.[/B]
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HiJackThis:[/URL]
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт AVZ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('acpi32');
StopService('amd64si');
StopService('ati64si');
StopService('fips32cup');
StopService('i386si');
StopService('ksi32sk');
StopService('netsik');
StopService('nicsk32');
StopService('port135sik');
StopService('securentm');
StopService('systemntmi');
QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ksi32sk.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\amd64si.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys');
DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('acpi32');
BC_DeleteSvc('amd64si');
BC_DeleteSvc('ati64si');
BC_DeleteSvc('fips32cup');
BC_DeleteSvc('i386si');
BC_DeleteSvc('ksi32sk');
BC_DeleteSvc('netsik');
BC_DeleteSvc('nicsk32');
BC_DeleteSvc('port135sik');
BC_DeleteSvc('securentm');
BC_DeleteSvc('systemntmi');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Система перезагрузится.
После перезагрузки:
- [URL="http://virusinfo.info/showthread.php?t=10025"]Очистите темп-папки, кэш проводников и корзину.[/URL]
[B]- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!![/B]
- Сделайте повторные логи согласно [URL="http://virusinfo.info/pravila.html"]Правил (Диагностика)[/URL]
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антивирус и Файрволл
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно [URL="http://virusinfo.info/pravila.html"]Правил (Приложение 3)[/URL].
- Прикрепите новые логи к новому сообщению в этой ветке.
При попытке выполнить скрипт в AVZ вылезает ошибка: ";" expected в позиции 52:1
Скрипт без ошибок. Может Вы его неудачно скопировали?
Выполнил все процедуры, со скриптом действительно ошибся при копировании.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
[B]- Антивирус и Файрволл.[/B]
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HiJackThis:[/URL]
[CODE]O4 - Startup: is-8HO4S.lnk = ?[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт AVZ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('vsdatant');
StopService('mpr_freader');
StopService('i386si');
QuarantineFile('a.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
DeleteFile('C:\Program Files\Multi Password Recovery\mpr_freader.sys');
DeleteFile('a.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('vsdatant');
BC_DeleteSvc('mpr_freader');
BC_DeleteSvc('i386si');
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
Система перезагрузится.
После перезагрузки:
- [URL="http://virusinfo.info/showthread.php?t=10025"]Очистите темп-папки, кэш проводников и корзину.[/URL]
[B]- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!![/B]
- Сделайте повторные логи согласно [URL="http://virusinfo.info/pravila.html"]Правил (Диагностика)[/URL]
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антивирус и Файрволл
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно [URL="http://virusinfo.info/pravila.html"]Правил (Приложение 3)[/URL].
- Прикрепите новые логи к новому сообщению в этой ветке.
Выполнено
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]26[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]