Ровно как и не запускаются сами антивирусы. АВЗ, Нод, HijackThis открываются на мгновенье и тут же вырубаются. КюрИт не нашел ничего.
Логи, к сожалению, не могу добавить, вирус мешает.
Printable View
Ровно как и не запускаются сами антивирусы. АВЗ, Нод, HijackThis открываются на мгновенье и тут же вырубаются. КюрИт не нашел ничего.
Логи, к сожалению, не могу добавить, вирус мешает.
- сделайте лог [URL="http://virusinfo.info/showthread.php?t=58309"][COLOR="Blue"][B]Combofix[/B][/COLOR][/URL]
ComboFix
Добавил логи, прочитал в соседней теме, что можно снять процесс експлорер.exe и тогда запустить АВЗ.
C:\WINDOWS\System32\sfcfiles.dll восстановите с дистрибутива [url]http://virusinfo.info/showthread.php?t=51654[/url]
Скопируйте текст ниже в блокнот и сохраните как файл с названием [B]CFScript.txt[/B] на рабочий стол.
[code]KillAll::
File::
C:\WINDOWS\system32\czpobq.exe
C:\WINDOWS\system32\e662f223.exe
C:\Program Files\Common Files\jqyrg4inedzz13m
Driver::
Folder::
C:\Program Files\Common Files\f8911261
Registry::
FileLook::
DirLook::[/code]
После сохранения переместите [B]CFScript.txt[/B] на пиктограмму ComboFix.exe.
[img]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
Смените все пароли
В воскресенье всё сделал, но комбофикс повис на третьем этапе чего-то там, поэтому отчета нет. Сегодня утром проблемы не было, но сейчас либо снова тот же, либо похожий вирус.
Симптомы те же.
Стандартные логи прилагаются, делал выключением експлорер.ехе в диспетчере и route -f для доступа к сайту.
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- [B][COLOR="Red"]Обязательно!!! Системное восстановление!!![/COLOR][/B][URL="http://avptool.ru/ru/AVPTool_helpdesk_sysrestore.htm"] как- посмотреть можно тут[/URL]
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('C:\WINDOWS\system32\uklcbs.exe','');
QuarantineFile('C:\WINDOWS\system32\f433194c.exe','');
QuarantineFile('C:\WINDOWS\system32\e662f223.exe','');
QuarantineFile('C:\Documents and Settings\Павел\Application Data\Abnoow\obdae.exe','');
QuarantineFile('C:\WINDOWS\TEMP\gkkcln.sys','');
DeleteService('rqrojkhd');
DeleteFile('C:\WINDOWS\TEMP\gkkcln.sys');
DeleteFile('C:\WINDOWS\system32\e662f223.exe');
DeleteFile('C:\WINDOWS\system32\f433194c.exe');
DeleteFile('C:\WINDOWS\system32\uklcbs.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(20);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscheck.zip;hijackthis.log[/COLOR])
- Скачайте [B]RSIT[/B] [URL="http://images.malwareremoval.com/random/RSIT.exe"]тут[/URL]. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета [COLOR="Blue"][B]log.txt[/B][/COLOR] и [COLOR="Blue"][B]info.txt[/B][/COLOR]. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
Извините, за восстановление. Всегда было выключено, перед первой проверкой проверял тоже..
Проблемы нет пока что. Карантин отослал
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\Documents and Settings\Павел\Application Data\Abnoow\obdae.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','{5478339F-2050-D781-4551-706B43679AA1}');
DeleteFileMask('C:\Program Files\Common Files\f8911261', '*.*', true);
DeleteDirectory('C:\Program Files\Common Files\f8911261');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- Сделайте повторный лог [COLOR="Blue"]virusinfo_syscheck.zip[/COLOR];
сделал
В логе чисто.Что с проблемой?
Пока все хорошо. Спасибо!
[url="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/url]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]13[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\павел\\application data\\abnoow\\obdae.exe - [B]Trojan-Spy.Win32.Zbot.aoqs[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Kazy.15094, NOD32: Win32/Spy.Zbot.ZR trojan, AVAST4: Win32:Spyware-gen [Spy] )[*] c:\\windows\\system32\\f433194c.exe - [B]Packed.Win32.Krap.hr[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Heur.FKP.1, NOD32: Win32/Spy.Shiz.NAI trojan, AVAST4: Win32:MalOb-DS [Cryp] )[*] c:\\windows\\system32\\uklcbs.exe - [B]Packed.Win32.Krap.hr[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Heur.FKP.1, AVAST4: Win32:MalOb-DS [Cryp] )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]