Троян блокирует работу обновлений антивирей. есть подозрение, что тырит пароли. Все необходимое во вложении.
Printable View
Троян блокирует работу обновлений антивирей. есть подозрение, что тырит пароли. Все необходимое во вложении.
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]
[COLOR="Black"][URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в hijackthis[/URL][/COLOR] -
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\d329aa28.exe,\\?\globalroot\systemroot\system32\7E1nKAJ.exe,\\?\globalroot\systemroot\system32\C0i7VST.exe,C:\WINDOWS\system32\de90a578.exe,C:\WINDOWS\system32\mtbhcg.exe,[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\Temp\~DF7283.tmp','');
QuarantineFile('C:\System Volume Information\_restore{9A0419B9-3B4C-4E43-8CB7-155DFA051D31}\RP1\A0000003.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\C0i7VST.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\7E1nKAJ.exe','');
QuarantineFile('C:\WINDOWS\system32\mtbhcg.exe','');
QuarantineFile('C:\WINDOWS\system32\de90a578.exe','');
QuarantineFile('C:\WINDOWS\system32\d329aa28.exe','');
QuarantineFile('C:\WINDOWS\TEMP\esp4DF4.tmp','');
DeleteFile('C:\WINDOWS\TEMP\esp4DF4.tmp');
DeleteFile('C:\WINDOWS\system32\d329aa28.exe');
DeleteFile('C:\WINDOWS\system32\de90a578.exe');
DeleteFile('C:\WINDOWS\system32\mtbhcg.exe');
DeleteFile('\\?\globalroot\systemroot\system32\7E1nKAJ.exe');
DeleteFile('\\?\globalroot\systemroot\system32\C0i7VST.exe');
DelAutorunByFileName('C:\WINDOWS\system32\d329aa28.exe');
DelAutorunByFileName('C:\WINDOWS\system32\de90a578.exe');
DelAutorunByFileName('C:\WINDOWS\system32\mtbhcg.exe');
DelAutorunByFileName('\\?\globalroot\systemroot\system32\7E1nKAJ.exe');
DelAutorunByFileName('\\?\globalroot\systemroot\system32\C0i7VST.exe');
RegSearch('HKLM', '', 'esp4DF4.tmp');
SaveLog(GetAVZDirectory + 'search.log');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.
- файл [B]search.log [/B] из папки AVZ прикрепите к сообщению
- Повторите логи.
сделано
Выполните скрипт в AVZ
[code]begin
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Print\Providers\F9DE7703');
RegKeyDel('HKLM', 'SYSTEM\ControlSet001\Control\Print\Providers\F9DE7703');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Control\Print\Providers\F9DE7703');
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
Сделайте новые логи AVZ
Скачайте [url=http://images.malwareremoval.com/random/RSIT.exe]RSIT[/url]. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке ([b]RSIT[/b]) в корне системного диска.
RSIT
свежие логи
нужны ли дальнейшие действия?..
[QUOTE='evoname;676167']нужны ли дальнейшие действия?.. [/QUOTE]Что с проблемой?
[QUOTE=Venus Doom;676168]Что с проблемой?[/QUOTE]
Антивирус обновился (eset nod32 4).
В Route больше ничего не дописывается. В принципе, если у администрации нет нареканий к моим логам - тему можно закрыть.
Всем спасибо за участие!
В логах ничего подозрительного
[B]Venus Doom[/B], тогда закрываем тему. всем спасибо!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]20[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\de90a578.exe - [B]Backdoor.Win32.Shiz.nl[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.cqW@aqJxhGfi, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\windows\system32\mtbhcg.exe - [B]Backdoor.Win32.Shiz.gen[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gu0@aGvmsoki )[/LIST][/LIST]