Попал в руки не долеченный ноут, с 50% загрузкой процессора (services.exe или winlogon), постоянно вылетающим эксплорером и запачканым параметром userinit в реестре, момогите вычистить.
Printable View
Попал в руки не долеченный ноут, с 50% загрузкой процессора (services.exe или winlogon), постоянно вылетающим эксплорером и запачканым параметром userinit в реестре, момогите вычистить.
Пофиксите в Hijack
[CODE]F2 - REG:system.ini: UserInit=\\.\globalroot\systemroot\system32\userinit.exe,C:\WINDOWS\system32\769c5e75.exe,C:\WINDOWS\system32\jswtpg.exe,C:\WINDOWS\system32\fghtyc.exe,[/CODE]
Выполните скрипт в AVZ (в [B]безопасном[/B] режиме)
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\syspanel32.exe','');
QuarantineFile('C:\WINDOWS\system32\jswtpg.exe','');
QuarantineFile('C:\WINDOWS\system32\fghtyc.exe','');
QuarantineFile('C:\WINDOWS\system32\769c5e75.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
QuarantineFile('C:\Documents and Settings\Руслан\Главное меню\Программы\Автозагрузка\monoca32.exe','');
DeleteFile('C:\Documents and Settings\Руслан\Главное меню\Программы\Автозагрузка\monoca32.exe');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
DeleteFile('C:\WINDOWS\system32\769c5e75.exe');
DeleteFile('C:\WINDOWS\system32\fghtyc.exe');
DeleteFile('C:\WINDOWS\system32\jswtpg.exe');
DeleteFile('C:\WINDOWS\system32\syspanel32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи (в [B]нормальном[/B] режиме)
Скачайте [url="http://images.malwareremoval.com/random/RSIT.exe"]RSIT[/url]. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке ([b]RSIT[/b]) в корне системного диска.
Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"]МВАМ[/URL]
Карантин:
[CODE]Файл сохранён как100812_131147_virus_4c63bad311041.zipРазмер файла308358MD5d2c13ea87120a123d5ff5ed2eb63ba5b[/CODE]
1. удалите в [B]MBAM[/B]
[CODE]
Зараженные ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9d64f819-9380-8473-dab2-702fcb3d7a3e} (Trojan.Ransom) -> No action taken.
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
Зараженные папки:
C:\Program Files\FieryAds (Adware.Adware.FearAds) -> No action taken.
Зараженные файлы:
C:\Documents and Settings\Руслан\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken.
C:\Documents and Settings\Руслан\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
[/CODE]
2.Профиксите в HijackThis [URL="http://virusinfo.info/showthread.php?t=4491"]как "профиксить в HiJackThis"[/URL]
[CODE]
O18 - Filter hijack: text/html - (no CLSID) - (no file)
[/CODE]
3.[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('globalroot\systemroot\system32\userinit.exe','');
QuarantineFile('C:\WINDOWS\system32\jswtpg.exe','');
QuarantineFile('C:\WINDOWS\system32\fghtyc.exe','');
QuarantineFile('C:\WINDOWS\system32\769c5e75.exe','');
DeleteFile('C:\WINDOWS\system32\769c5e75.exe');
DeleteFile('C:\WINDOWS\system32\fghtyc.exe');
DeleteFile('C:\WINDOWS\system32\jswtpg.exe');
QuarantineFile('C:\WINDOWS\system32\44a07eed.exe','');
QuarantineFile('C:\WINDOWS\system32\e0d84166.exe','');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
DeleteFile('C:\WINDOWS\system32\44a07eed.exe');
DeleteFile('C:\WINDOWS\system32\e0d84166.exe');
DeleteFile('C:\Program Files\Common Files\keylog.txt');
QuarantineFile('C:\Program Files\Mozilla Firefox\setupapi.dll','');
DeleteFile('C:\Program Files\Mozilla Firefox\setupapi.dll');
QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
QuarantineFile('%windir%\system32\sfcfiles.dll','');
QuarantineFile('%windir%\system32\mssfc.dll','');
DeleteFile('%windir%\system32\drivers\sfc.sys');
DeleteFile('%windir%\system32\mssfc.dll');
RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then
begin
if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
SaveLog('sfcfiles.log');
end
else
begin
AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных');
SaveLog('sfcfiles.log');
if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
begin
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386');
SaveLog('sfcfiles.log');
end
else
begin
AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
SaveLog('sfcfiles.log');
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в i386');
SaveLog('sfcfiles.log');
end;
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в кеше');
SaveLog('sfcfiles.log');
if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
begin
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386');
SaveLog('sfcfiles.log');
end
else
begin
AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
SaveLog('sfcfiles.log');
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в i386');
SaveLog('sfcfiles.log');
end;
end;
DeleteFile('%windir%\system32\sfcfiles.bak');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_DeleteSvc('sfc');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторный лог [B]virusinfo_syscheck.zip[/B];
- Сделайте повторный лог [B]RSIT[/B]
- Сделайте повторный лог [URL="http://virusinfo.info/showthread.php?t=53070"][B]MBAM[/B][/URL]
Карантин:
[CODE]Файл сохранён как100812_180101_quarantine_4c63fe9d21054.zipРазмер файла486564MD5fac48634e6215c386d24ffe5f810f815[/CODE]
еще вот этот файл [B]sfcfiles.log[/B] прикрепите к сообщению
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
C:\Program Files\Common Files\wm - директорию удалите вручную
Ребят, ноут к сожалению уже забрали.
Все симптомы пропали, проц больше ничего не грузит, ошибок никаких не возникает. Я думаю можно считать тему закрытой. Спасибо вам огромное ! Отличный и оперативный сервис :beer:
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\руслан\главное меню\программы\автозагрузка\monoca32.exe - [B]Trojan-Ransom.Win32.DigiPog.wb[/B] ( DrWEB: Trojan.Packed.20668, BitDefender: Gen:Trojan.Heur.FU.bC0@aWvggBhi, AVAST4: Win32:Crypt-HCS [Drp] )[*] c:\windows\system32\e0d84166.exe - [B]Backdoor.Win32.Shiz.oe[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.bq0@a02iXHki, AVAST4: Win32:MalOb-BW [Cryp] )[*] c:\windows\system32\fghtyc.exe - [B]Backdoor.Win32.Shiz.tk[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Rootkit.38809, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\windows\system32\jswtpg.exe - [B]Backdoor.Win32.Shiz.nw[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@aS73dddi, AVAST4: Win32:MalOb-BW [Cryp] )[*] c:\windows\system32\mssfc.dll - [B]Trojan-Spy.Win32.Agent.biml[/B] ( DrWEB: Trojan.WinSpy.921, BitDefender: Gen:Trojan.Heur.LP.Fr7@aOCFMxp )[*] c:\windows\system32\sfcfiles.dll - [B]Trojan-Spy.Win32.Agent.bimb[/B] ( DrWEB: Trojan.WinSpy.921, BitDefender: Gen:Trojan.Heur.LP.Fr7@ayll9pp, AVAST4: Win32:Spyware-gen [Spy] )[*] c:\windows\system32\syspanel32.exe - [B]Trojan-Banker.Win32.Fibbit.aa[/B] ( DrWEB: Trojan.PWS.Ibank.81, BitDefender: Gen:Trojan.Heur.RP.gmW@aGsTSLb, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\44a07eed.exe - [B]Backdoor.Win32.Shiz.ns[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.KD.23092, AVAST4: Win32:MalOb-BW [Cryp] )[*] c:\windows\system32\769c5e75.exe - [B]Backdoor.Win32.Shiz.ns[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.KD.23092, AVAST4: Win32:MalOb-BW [Cryp] )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]