Система работает нестабильно [Trojan-Proxy.Win32.Lethic.bpz ]

**regist** · 27.02.2014, 18:58

скрипт из сообщения №15 ещё раз выполните. И снова проверьте результат.

+ из папки

Код:

C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM

заархивируйте, загрузите на http://rghost.ru/ и пришлите мне в ЛС файлы SOFTWARE.uVS и SYSTEM.uVS

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**DrWlad** · 04.03.2014, 16:51

Скрипт выполнил, лог во вложении. Ветки остались на месте. Ссылку в личку сейчас кину.

**mike 1** · 05.03.2014, 01:48

Скачайте Avenger by Swandog46 и распакуйте на рабочий стол.
Запустите Avenger, скопируйте и вставьте текст ниже в окно выполнения скрипта
Код:
```
Drivers to disable:

Drivers to delete:

Files to delete:

Folders to delete:

Registry values to delete:

Registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\qpqpdndnn.exe
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\rstrui.exe
```
Примечание: Скрипт создан специально для этого пользователя. Если скрипт сформирован не для вас, не используйте данный скрипт, это может повредить вашей системе.
Нажмите Execute и подтвердите, нажав Yes
Avenger автоматически выполнит следующее:
- Перезагрузит компьютер (в случае если скрипт содержит Drivers to Delete, Avenger перезагрузит компьютер дважды)
- При перезагрузке кратковременно появится черное окно, это нормально
- После перезагрузки будет создан лог файл C:\avenger.txt с результатами работы Avenger.
- Avenger также сохранит удаляемые файлы в архиве C:\avenger\backup.zip.
Прикрепите содержимое файла c:\avenger.txt в следующее сообщение.

**DrWlad** · 05.03.2014, 12:45

Сделал:

**mike 1** · 05.03.2014, 13:07

А вручную через реестр эти ключи реестра не удаляются?

**DrWlad** · 05.03.2014, 13:40

Нет. Не удаляются

**mike 1** · 05.03.2014, 18:14

Попробуем еще вот так. Запустите командную строку от имени Администратора, затем введите в командной строке:

Код:

reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe" /f

Код:

reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\qpqpdndnn.exe" /f

**DrWlad** · 06.03.2014, 04:39

Это я сам делал ещё неделю назад: бесполезно.

**mike 1** · 06.03.2014, 15:07

Возможно без использования LiveCD ключи не удастся удалить.

**regist** · 06.03.2014, 19:52

Закройте все браузеры, запустите командный файл script.cmd из папки с uVS. Когда откроется окно со скриптом, вставьте скрипт написанные ниже и нажмите "Выполнить".

Код:

;uVS v3.82 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

Cexec reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe" /f
Cexec reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\qpqpdndnn.exe" /f
restart

Проверьте результат, если не получится потом другим способом сделаем. Скорее всего удастся обойтись без Live CD.

**regist** · 07.03.2014, 14:18

+ пожалуйста, перед выполнением скрипта временно приостановите самозащиту dr. Web , потом отключите антивирус и выполните инструкцию из предыдущего поста.

**regist** · 10.03.2014, 16:16

проблема решена?

**DrWlad** · 10.03.2014, 16:24

Пока нет, только что связался с сестрой, работаю.

**regist** · 10.03.2014, 16:57

Ещё обязательно временно отключите в настройках Веба "Превентивную защиту".

**DrWlad** · 10.03.2014, 17:47

Ну, кажется все: ветки удалились. Спасибо.

**regist** · 10.03.2014, 19:42

Удалите ComboFix

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Советы и рекомендации после лечения компьютера

**CyberHelper** · 10.03.2014, 19:52

Статистика проведенного лечения:

Получено карантинов: 3
Обработано файлов: 17
В ходе лечения обнаружены вредоносные программы:
1. c:\programdata\creativeaudio\dtdasndku.exe - Worm.Win32.Ngrbot.zwp ( BitDefender: Trojan.GenericKD.1572148, AVAST4: Win32:Malware-gen )
2. c:\progra~2\mslquhmz.exe - Backdoor.Win32.Androm.bnvg ( BitDefender: Trojan.GenericKD.1572084, AVAST4: Win32:Dropper-gen [Drp] )
3. c:\recycler\mscinet.exe - Trojan-Proxy.Win32.Lethic.bpz ( BitDefender: Trojan.GenericKD.1577688, AVAST4: Win32:Malware-gen )

Система работает нестабильно [Trojan-Proxy.Win32.Lethic.bpz ] (заявка № 155462)

Опции темы

Это понравилось:

Итог лечения

Похожие темы

система XP нестабильно работает

Нестабильно работает интернет

Нестабильно работает ОС

Система работает нестабильно

Система запускается нестабильно

Метки для этой темы

Ваши права в разделе