Здравствуйте! помогите с лечением последствий вируса!
лечение последствия вирусов
Здравствуйте! помогите с лечением последствий вируса!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Здравствуйте!
Пофиксите в HijackThis:
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):Код:F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\l911G5G.exe,
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('%system32%\l911G5G.exe',''); QuarantineFile('D:\WINDOWS\system32\ehhvstmcg.dll',''); QuarantineFile('D:\WINDOWS\system32\mssfc.dll',''); DeleteFile('%system32%\l911G5G.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
вот высылаю
Выполните скрипт
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('D:\WINDOWS\system32\ehhvstmcg.dll',''); DeleteFile('D:\WINDOWS\system32\mssfc.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Сделайте новый лог virusinfo_syscheck.zip
продолжение
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); DeleteFile('c:\ehhvstmcg.dll'); DeleteFile('D:\WINDOWS\system32\ehhvstmcg.dll'); QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll',''); RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak'); CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll'); DeleteFile('C:\WINDOWS\System32\sfcfiles.bak'); DeleteFile('D:\WINDOWS\system32\mssfc.dll'); RegKeyStrParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', ''); BC_ImportAll; ExecuteSysClean; BC_DeleteFile('C:\WINDOWS\System32\sfcfiles.bak'); BC_DeleteFile('D:\WINDOWS\system32\mssfc.dll'); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторный лог virusinfo_syscheck.zip;
вот...
Карантинная папка пуста. вот такое вижу сообщение при выполнении скрипта
Ошибка карантина файла, попытка прямого чтения (d:\windpws\system32\sfcfiles.dll)
Карантин с использованием прямого чтения - ошибка
Выполните скрипт в AVZ
После перезагрузки сделайте новый логКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\System32\drivers\sfc.sys'); DeleteFile('D:\WINDOWS\system32\mssfc.dll'); DeleteService('sfc'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
вот и привела меня самодеятельность к наверное плохому...
решил удалить (вернее kill ' ом убить) через gmer два файла, которые попали в карантин: sfsfiles.dll и mssfc.dll (вроде как скрипты AVZ как мне показалось не удаляли их).
После этого винда не грузится
вот кривые мои руки
Пробуйте загрузку последней удачной конфигурации
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
не загружается ни в каком режиме.
stop ошибка с000007b и далее крякозябры, но присутствует упоминание файла sfcfiles.dll
хотя сам файл в папке \system32 присутствует
Почитал про утилиту gmer, мнения разные, но то, что результаты его работы вызывают иногда bsod ошибки, встречаются. может кто сталкивался с таким "явлением"? и как вылечить регистр erd командером, какие ветки копать?
если последствия моих неумелых действий с gmer не поддаются лечению, то тему можно закрыть с пометкой "сам пользователь дурак"
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\ehhvstmcg.dll - Worm.Win32.NeKav.lg ( DrWEB: Trojan.Packed.20343, NOD32: Win32/AutoRun.Delf.EL worm, AVAST4: Win32:Malware-gen )
- d:\windows\system32\mssfc.dll - Trojan-Spy.Win32.Agent.bgaj
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) GenK, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
