Получил сообщение на рабочий стол. Понимаю, что проблема распространенная, но в правилах указано, что каждый случай индивидуален, поэтому создаю новую тему.
Спасибо.
Получил сообщение на рабочий стол. Понимаю, что проблема распространенная, но в правилах указано, что каждый случай индивидуален, поэтому создаю новую тему.
Спасибо.
1. Скачайте IceSword: http://mail.ustc.edu.cn/~jfpan/downl...Sword122en.zip
2. Запустите, слева внизу нажмите File, затем найдите файлы:
C:\WINDOWS\system32\Drivers\Gmr73.sys
C:\WINDOWS\System32\drivers\tcpsr.sys
и сделайте им Force Delete.
3.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll',''); RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{DF780F87-FF2B-4DF8-92D0-73DB16A1543A}'); DelBHO('{B863453A-26C3-4e1f-A54D-A2CD196348E9}'); QuarantineFile('C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll',''); DelBHO('{C5AF49A2-94F3-42BD-F434-3604812C897D}'); QuarantineFile('C:\Windows\system\winload.exe',''); QuarantineFile('C:\WINDOWS\system32\winhelp.exe',''); QuarantineFile('C:\WINDOWS\msserv.exe',''); QuarantineFile('C:\WINDOWS\TEMP\winlogan.exe',''); QuarantineFile('C:\DOCUME~1\DEMO\LOCALS~1\Temp\csrssc.exe',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\irsir.sys',''); QuarantineFile('C:\WINDOWS\system32\io02.sys',''); DeleteService('Google Online Services'); QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Gmr73.sys',''); QuarantineFile('C:\WINDOWS\system32\jdgf8edfsde.dll',''); TerminateProcessByName('c:\windows\system\winload.exe'); QuarantineFile('c:\windows\system\winload.exe',''); TerminateProcessByName('c:\windows\temp\winlogan.exe'); QuarantineFile('c:\windows\temp\winlogan.exe',''); TerminateProcessByName('c:\windows\temp\1399825856.exe'); TerminateProcessByName('c:\documents and settings\demo\ie_updates3r.exe'); QuarantineFile('c:\documents and settings\demo\ie_updates3r.exe',''); QuarantineFile('c:\program files\d-link\airplus g\airgcfg.exe',''); QuarantineFile('c:\windows\temp\1399825856.exe',''); DeleteFile('c:\windows\temp\1399825856.exe'); DeleteFile('c:\documents and settings\demo\ie_updates3r.exe'); DeleteFile('c:\windows\temp\winlogan.exe'); DeleteFile('c:\windows\system\winload.exe'); DeleteFile('C:\WINDOWS\system32\jdgf8edfsde.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\Gmr73.sys'); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); DeleteFile('C:\DOCUME~1\DEMO\LOCALS~1\Temp\csrssc.exe'); DeleteFile('C:\WINDOWS\TEMP\winlogan.exe'); DeleteFile('C:\WINDOWS\msserv.exe'); DeleteFile('C:\WINDOWS\system32\blphc1q3j0etp3.scr'); DeleteFile('C:\WINDOWS\system32\winhelp.exe'); DeleteFile('C:\Windows\system\winload.exe'); DeleteFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll'); DeleteFile('c:\windows\winlogon.exe'); DeleteFile('c:\windows\system32\lphc1q3j0etp3.exe'); DeleteFile('C:\WINDOWS\system32\pzvd534.exe'); DeleteFile('C:\ltida3.exe'); ExecuteRepair(6); ClearHostsFile; BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=26554
4. Повторите логи.
The worst foe lies within the self...
Вот логи. Спасибо
Пофиксить
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".Код:O4 - HKUS\S-1-5-18\..\Run: [HJdfke9kfdf] C:\WINDOWS\TEMP\csrssc.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [HJdfke9kfdf] C:\WINDOWS\TEMP\csrssc.exe (User 'Default user')
Повторите логи начиная с п.10 правил...Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('Gmr73'); DeleteFile('C:\WINDOWS\System32\Drivers\Gmr73.sys'); DeleteFile('C:\WINDOWS\TEMP\csrssc.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('Gmr73 '); BC_Activate; RebootWindows(true); end.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 13
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\jdgf8edfsde.dll - Trojan.Win32.Agent.uvk (DrWEB: Trojan.Packed.56
- c:\\windows\\temp\\winlogan.exe - Trojan-Downloader.Win32.Agent.wja (DrWEB: Trojan.DownLoad.2061)
- c:\\windows\\temp\\1399825856.exe - Trojan-Downloader.Win32.Agent.wib (DrWEB: Trojan.Packed.56
Уважаемый(ая) jnix, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.