Здравствуйте! помогите с лечением последствий вируса!
Printable View
Здравствуйте! помогите с лечением последствий вируса!
Здравствуйте!
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] в HijackThis:
[code]
F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\l911G5G.exe,
[/code]
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('%system32%\l911G5G.exe','');
QuarantineFile('D:\WINDOWS\system32\ehhvstmcg.dll','');
QuarantineFile('D:\WINDOWS\system32\mssfc.dll','');
DeleteFile('%system32%\l911G5G.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
вот высылаю
Выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\system32\ehhvstmcg.dll','');
DeleteFile('D:\WINDOWS\system32\mssfc.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
Сделайте новый лог virusinfo_syscheck.zip
продолжение
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('c:\ehhvstmcg.dll');
DeleteFile('D:\WINDOWS\system32\ehhvstmcg.dll');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
DeleteFile('D:\WINDOWS\system32\mssfc.dll');
RegKeyStrParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_DeleteFile('D:\WINDOWS\system32\mssfc.dll');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторный лог virusinfo_syscheck.zip;
вот...
Карантинная папка пуста. вот такое вижу сообщение при выполнении скрипта
[SIZE=2]Ошибка карантина файла, попытка прямого чтения (d:\windpws\system32\sfcfiles.dll)
[/SIZE][SIZE=2][COLOR=#ff0000]Карантин с использованием прямого чтения - ошибка
[/COLOR][/SIZE]
Выполните скрипт в AVZ
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\System32\drivers\sfc.sys');
DeleteFile('D:\WINDOWS\system32\mssfc.dll');
DeleteService('sfc');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]После перезагрузки сделайте новый лог
вот и привела меня самодеятельность к наверное плохому...
решил удалить (вернее kill ' ом убить) через gmer два файла, которые попали в карантин: sfsfiles.dll и mssfc.dll (вроде как скрипты AVZ как мне показалось не удаляли их).
После этого винда не грузится :(
вот кривые мои руки:( может как ERD Commander поможет вернуть загрузку?
Пробуйте загрузку последней удачной конфигурации
не загружается ни в каком режиме.
stop ошибка с000007b и далее крякозябры, но присутствует упоминание файла sfcfiles.dll
хотя сам файл в папке \system32 присутствует
Почитал про утилиту gmer, мнения разные, но то, что результаты его работы вызывают иногда bsod ошибки, встречаются. может кто сталкивался с таким "явлением"? и как вылечить регистр erd командером, какие ветки копать?
если последствия моих неумелых действий с gmer не поддаются лечению, то тему можно закрыть с пометкой "сам пользователь дурак":dash1:
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\ehhvstmcg.dll - [B]Worm.Win32.NeKav.lg[/B] ( DrWEB: Trojan.Packed.20343, NOD32: Win32/AutoRun.Delf.EL worm, AVAST4: Win32:Malware-gen )[*] d:\windows\system32\mssfc.dll - [B]Trojan-Spy.Win32.Agent.bgaj[/B][/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]