-
Junior Member
- Вес репутации
- 48
Не могу победить вирус
Добрый день.
Не могу победить вирус. Запускается похоже через svchost.
Прописывается в реестре в HKLM\Software\Microsoft\WindowsNT\Winlogon\Userini t, как C:\Windows\AppPatch\*.dat (имя файла dat может меняться).
Прописывает свои IP-адреса в HKLM\System\CurrentControlSet\Services\Tcpip\Param eters\PersistentRoutes, как следствие не работает почта и обновление антивирусов.
При запуске MBAM вылетает explorer, AVZ запускается только с опцией am=y.
В папке c:\Windows\Temp спустя время появляется 2.exe, batch файл и словари для подбора паролей.
Путем восстановления системы и удаления подозрительных разделов из автозапуска и служб добился однодневной работы почты и антивируса, но через сутки все вернулось.
Добить заразу никак не могу.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте.
Мы постараемся вам помочь, если вы выполните раздел Диагностика правил:
http://virusinfo.info/pravila.html
и приложите получившиеся логи.
-
-
Junior Member
- Вес репутации
- 48
Люди, Братья, Мужики!
Благодарность не будет знать границ (в пределах разумных).
-
Отключите интернет.
Выгрузите/отключите антивирус/файрволл.
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\AppPatch\corxzyb.dat,
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\AppPatch\corxzyb.dat','');
DeleteFile('C:\WINDOWS\AppPatch\corxzyb.dat');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
После перезагрузки выполните скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Запустите/включите антивирус/файрволл.
Подключите интернет.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
Повторите лог virusinfo_syscheck.zip и лог HijackThis и приложите в теме.
C:\sender\Sender.exe
D:\MApteka\Bin\csystray.exe
Это вам знакомо?
-
-
Junior Member
- Вес репутации
- 48
Групповые обьятия.
Мил человек, громадное Вам спасибо.
На первый взгляд проблем нет.
Посмотрим как дальше будем жить..
P.S.
Этож надо, при живом-то лицензионном НОД32....
-
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
Повторите лог HijackThis и приложите в теме.
-
-
Junior Member
- Вес репутации
- 48
-
Теперь чисто.
Проблемы есть еще?
-
-
Junior Member
- Вес репутации
- 48
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\apppatch\\corxzyb.dat - Trojan.Win32.Jorik.Shiz.iq ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.KDV.201621, AVAST4: Win32:MalOb-IP [Cryp] )
-