-
Junior Member
- Вес репутации
- 60
помогите победить Ms removal tool
Добрый день. Ms removal tool убрал с помощью другого компьютера (просканировал касперским). Дня через два появляется опять. Не могу в AVZ выполнить стандартные скрипты, AVZ зависает при сканировании папки \system32\drivers\Disdn, при попытке удалить папку Disdn Unlockerom пишет чего то про Winlogon и комп вырубается. mbam-setup и касперский при сканировании тоже зависают. Помогите пожалуйста!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Dolgih i, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Здравствуйте.
Выполните только стандартный скрипт №2.
-
-
Junior Member
- Вес репутации
- 60
Пробовал, он тоже зависает.
-
Попробуйте подождать подольше.
-
-
Junior Member
- Вес репутации
- 60
Пробовал ждать часа три, висит и всё. Но логи сделал, только в безопасном режиме с поддержкой сетевых драйверов. Так можно?
-
Отключите:
-Все защитные приложения
-ПК от интернета
Выполните скрипт в AVZ:
Код:
procedure WhatService(AServiceName : string);
var
dllname, servicekey : string;
begin
servicekey := 'SYSTEM\CurrentControlSet\Services\'+AServiceName;
RegKeyResetSecurity( 'HKLM', servicekey);
RegKeyResetSecurity( 'HKLM', servicekey+'\Parameters');
AddToLog('Description: '+RegKeyStrParamRead( 'HKLM', servicekey, 'Description'));
AddToLog('DisplayName: '+RegKeyStrParamRead( 'HKLM', servicekey, 'DisplayName'));
AddToLog('ImagePath: '+RegKeyStrParamRead( 'HKLM', servicekey, 'ImagePath'));
dllname := RegKeyStrParamRead( 'HKLM', servicekey+'\Parameters', 'ServiceDll');
AddToLog('ServiceDll: '+dllname);
QuarantineFile(dllname,'');
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\System32\spool\PRTPROCS\W32X86\2.tmp','');
QuarantineFile('C:\WINDOWS\system32\Drivers\fveuxpkz.sys','');
QuarantineFile('C:\WINDOWS\system32\zepu.exe','');
DeleteFile('C:\WINDOWS\system32\zepu.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\fveuxpkz.sys');
WhatService('caoibq');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('wuxfyyii71');
BC_DeleteSvc('fveuxpkz');
ExecuteWizard('TSW',2,3,true);
SaveLog(GetAVZDirectory+'caoibq.log');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Затем выполните ещё один скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).
Загрузитесь в нормальном режиме и попробуйте сделать повторные логи.
-
-
Junior Member
- Вес репутации
- 60
После выполнения скрипта, все получилось. Спасибо. Выкладываю логи.
Карантин только не получилось загрузить, - "файл уже был загружен".
-
Удалите в МВАМ только указанные строки
Код:
Зараженные ключи в реестре:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\� (Hijack.Zones) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.
Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\id (Malware.Trace) -> Value: id -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\host (Malware.Trace) -> Value: host -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Services\del (Malware.Trace) -> Value: del -> No action taken.
Зараженные файлы:
c:\RECYCLER\s-1-5-21-839522115-261903793-682003330-1003\Dc486.exe (Trojan.FakeAlert) -> No action taken.
c:\WINDOWS\0374DAD1.exe (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\06BC5C62.exe (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\0F9C55B1.exe (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\11DA0ABB.exe (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\139D2E78.exe (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\7F8BDAFB.exe (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\7FD6B445.exe (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\290E1954.exe (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\2A1F6232.exe (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\2E49644D.exe (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\3115E3FC.exe (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\54F7BA7A.exe (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\567BE81A.exe (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\5974B425.exe (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\5C37D02A.exe (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\36D67C9A.exe (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\5155FA54.exe (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\5475B975.exe (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\752492E1.exe (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\7A2CDE1A.exe (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\1CDA3193.exe (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\1F6D0078.exe (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\2188754F.exe (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\23EB16DA.exe (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\all users\application data\common.data (Malware.Trace) -> No action taken.
c:\WINDOWS\Temp\ppddfcfux.exxe (Trojan.FakeAlert) -> No action taken.
c:\WINDOWS\Temp\w32rim_mem.exe (Trojan.Downloader) -> No action taken.
c:\WINDOWS\Temp\wrfwe_di.exe (Trojan.Downloader) -> No action taken.
c:\WINDOWS\system32\config\systemprofile\local settings\temporary internet files\335A7A0D.exe (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\config\systemprofile\local settings\temporary internet files\40AC432E.exe (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\config\systemprofile\local settings\temporary internet files\4F11EC54.exe (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\config\systemprofile\local settings\temporary internet files\615AEE12.exe (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\config\systemprofile\local settings\temporary internet files\6204F4A1.exe (Trojan.Agent) -> No action taken.
c:\WINDOWS\logfile32.txt (Malware.Trace) -> No action taken.
c:\WINDOWS\pchealth\UploadLB\335A7A0D.exe (Worm.Archive) -> No action taken.
c:\WINDOWS\pchealth\UploadLB\40AC432E.exe (Worm.Archive) -> No action taken.
c:\WINDOWS\pchealth\UploadLB\4F11EC54.exe (Worm.Archive) -> No action taken.
c:\WINDOWS\pchealth\UploadLB\615AEE12.exe (Worm.Archive) -> No action taken.
c:\WINDOWS\pchealth\UploadLB\6204F4A1.exe (Worm.Archive) -> No action taken.
c:\WINDOWS\Temp\dffuck.exe (Malware.Trace) -> No action taken.
c:\WINDOWS\Temp\dwl_bqz.exe (Malware.Trace) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
