hijack не запускается.
Пришлось с другого компа в инет выходить.
Вот логи.
Printable View
hijack не запускается.
Пришлось с другого компа в инет выходить.
Вот логи.
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Program Files\Validata\cpki\ccsref.exe','');
QuarantineFile('C:\Program Files\Validata\cpki\ccs.exe','');
QuarantineFile('C:\WINDOWS\system32\39d5f7b4.exe','');
QuarantineFile('C:\WINDOWS\system32\vbivnv.exe','');
DeleteFile('C:\WINDOWS\system32\vbivnv.exe');
DeleteFile('C:\WINDOWS\system32\39d5f7b4.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(20);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.
- Повтрите логи АВЗ + сделайте лог [URL="http://virusinfo.info/showthread.php?t=53070"]MBAM[/URL]
А также
Скачайте [url="http://images.malwareremoval.com/random/ru/RSIT.exe"]RSIT[/url]. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке ([b]RSIT[/b]) в корне системного диска.
Готово
1. удалите в [B]MBAM[/B] все найденное
2.[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\xpywij.exe','');
DeleteFile('C:\WINDOWS\system32\xpywij.exe');
DeleteFileMask('C:\Program Files\Common Files\wm', '*.*', true);
DeleteDirectory('C:\Program Files\Common Files\wm');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','system\currentcontrolset\control\securityproviders','SecurityProviders','msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторный лог [B]RSIT[/B]
Выполнил
В логах подозрительного нет.
Обновите систему
- Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet-Explorer 8[/URL].(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]
- поставте [URL="http://get.adobe.com/reader/otherversions/"]Adobe Reader 9.3[/URL] или удалите старый.
После обновления:
- Откройте файл [URL="http://df.ru/~kad/ScanVuln.txt"]ScanVuln.txt[/URL]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
На этом можно считать лечение законченным.
Спасибо! Инцидент можно закрывать.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\vbivnv.exe - [B]Packed.Win32.Krap.hr[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.KDV.31139, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-CC [Cryp] )[*] c:\\windows\\system32\\xpywij.exe - [B]Packed.Win32.Krap.hr[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Rootkit.38987, AVAST4: Win32:MalOb-DS [Cryp] )[*] c:\\windows\\system32\\39d5f7b4.exe - [B]Packed.Win32.Krap.hr[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Heur.FKP.1, NOD32: Win32/Spy.Shiz.NAI trojan, AVAST4: Win32:MalOb-CC [Cryp] )[/LIST][/LIST]