Printable View
Подцепил где-то эту гадость. Изначально грузила процессор, при перезагрузке винда вылетала в БСОД, антивирусы вешались. Путем поиска и удаления файлов и записей в реестре ручками удалось добиться, чтобы компьютер нормально работал и антивири запускались. К сожалению, CureIt нашел только пару файлов, вирус по-прежнему грузится. Помогите, пожалуйста.
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] в Hijackthis:[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\f079c110.exe,C:\WINDOWS\system32\iigyes.exe,C:\WINDOWS\system32\4e10faca.exe,C:\WINDOWS\system32\7ff31f6e.exe,
[/CODE]
Отключите компьютер от интернета, а также [URL="http://virusinfo.info/showthread.php?t=57441"]отключите[/URL] [B]антивирус[/B] и/или [B]файрвол[/B].
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\syspanel32.exe','');
QuarantineFile('C:\WINDOWS\system32\iigyes.exe','');
QuarantineFile('C:\WINDOWS\system32\f079c110.exe','');
QuarantineFile('C:\WINDOWS\system32\7ff31f6e.exe','');
QuarantineFile('C:\WINDOWS\system32\4e10faca.exe','');
DeleteFile('C:\WINDOWS\system32\4e10faca.exe');
DeleteFile('C:\WINDOWS\system32\7ff31f6e.exe');
DeleteFile('C:\WINDOWS\system32\f079c110.exe');
DeleteFile('C:\WINDOWS\system32\iigyes.exe');
DeleteFile('C:\WINDOWS\system32\syspanel32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы. Обновите базы AVZ. Сделайте новые логи по правилам + лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"]mbam[/URL]
новые логи
пришлите карантин по правилам и сделайте лог mbam
Карантин выложил, лог МБАМ сделал
1. удалите в MBAM
[CODE]
Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avz.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\hijackthis.exe (Security.Hijack) -> No action taken.
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
[/CODE]
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Program Files\Alcohol Soft\Alcohol 120\Plugins\Helper\AlSrvN.exe','');
QuarantineFile('C:\Program Files\Mozilla Firefox\setupapi.dll','');
DeleteFile('C:\Program Files\Mozilla Firefox\setupapi.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Скачайте [B]RSIT[/B] [URL="http://images.malwareremoval.com/random/RSIT.exe"]тут[/URL]. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
Карантин прислал
[QUOTE]Файл сохранён как100811_020123_quarantine_4c61cc3348f36.zip
Размер файла6911
MD5da9c4937183b8942484aa38d2fd5a35d[/QUOTE]
логи rsit
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\fjhdyfhsn.bat');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
ПК перезагрузится. Плохого больше не видно. Отпишите о состоянии системы
+ [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
QuarantineFile('C:\WINDOWS\system32\mssfc.dll','');
DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys');
DeleteFile('C:\WINDOWS\system32\mssfc.dll');
if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then
begin
RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
if CheckFile('%System32%\dllcache\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\system32\dllcache\sfcfiles.dll', '%windir%\system32\sfcfiles.dll');
DeleteFile('%windir%\system32\sfcfiles.bak');
AddToLog('Замена sfcfiles.dll успешно произведена');
SaveLog('sfcfiles.log');
end
else
begin
AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных');
SaveLog('sfcfiles.log');
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в кеше');
SaveLog('sfcfiles.log');
end;
BC_ImportALL;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_DeleteSvc('sfc');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторный лог [B]RSIT[/B]
Всем спасибо! Вопрос решен )
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\7ff31f6e.exe - [B]Backdoor.Win32.Shiz.qf[/B] ( DrWEB: BackDoor.Siggen.25737, BitDefender: Gen:Variant.Zbot.15, AVAST4: Win32:Rootkit-gen [Rtk] )[/LIST][/LIST]