-
Junior Member
- Вес репутации
- 57
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Нарушения правил при сборе информации для раздела Помогите.
- Не обновлены базы АВЗ. Обновите базы Файл/Обновление баз.
- Не выключено системное восстановление.
Логи выполненные с нарушением правил рассматриваться не будут.
Спасибо за понимание.
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление (Приложение 1 правил).
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\Winye55.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winxx85.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winty28.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wintx14.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winsn06.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winsd63.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winqb33.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winnx60.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winni41.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winkp82.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winfp71.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winfp22.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winet73.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winee66.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winds36.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Windn06.sys','');
QuarantineFile('C:\WINDOWS\system32\blphcnfkj0e58l.scr','');
QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
QuarantineFile('C:\WINDOWS\system32\lphcnfkj0e58l.exe','');
QuarantineFile('C:\WINDOWS\system32\mstmdm.dll','');
DeleteService('btwdinsClipSrvMSDTC');
DeleteService('ClipSrvMSDTC');
DeleteService('ClipSrvSSDPSRV');
DeleteService('clr_optimization_v2.0.50727_32BITS');
DeleteService('helpsvcRasMan');
DeleteService('HidServSENSNetmanShellHWDetection');
DeleteService('msvsmon90xmlprov');
DeleteService('NetDDENla');
DeleteService('NetmanCiSvc');
DeleteService('NetmanLmHosts');
DeleteService('NetTcpPortSharingHidServ');
DeleteService('NtLmSspdmadmin');
DeleteService('NtmsSvcTlntSvr');
DeleteService('PolicyAgentCiSvc');
DeleteService('PolicyAgentRSVP');
DeleteService('PolicyAgentSwPrv');
DeleteService('PolicyAgentVSS');
DeleteService('RemoteRegistryPlugPlay');
DeleteService('SENSNetman');
DeleteService('SENSNetmanShellHWDetection');
DeleteService('TapiSrvRemoteAccess');
DeleteService('TermServicePolicyAgentRSVP');
DeleteService('WebClientstisvc');
DeleteService('wscsvcPolicyAgent');
DeleteService('wscsvcRSVP');
DeleteService('Winye55');
DeleteService('Winxx85');
DeleteService('Winty28');
DeleteService('Wintx14');
DeleteService('Winsn06');
DeleteService('Winsd63');
DeleteService('Winqb33');
DeleteService('Winnx60');
DeleteService('Winni41');
DeleteService('Winkp82');
DeleteService('Winfp71');
DeleteService('Winfp22');
DeleteService('Winet73');
DeleteService('Winee66');
DeleteService('Winds36');
DeleteService('Windn06');
DeleteFile('C:\WINDOWS\system32\mstmdm.dll');
DeleteFile('C:\WINDOWS\system32\lphcnfkj0e58l.exe');
DeleteFile('C:\WINDOWS\system32\cssrss.exe');
DeleteFile('C:\WINDOWS\system32\blphcnfkj0e58l.scr');
DeleteFile('C:\WINDOWS\System32\Drivers\Windn06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winds36.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winee66.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winet73.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfp22.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfp71.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winkp82.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winni41.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winnx60.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqb33.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsd63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsn06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wintx14.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winty28.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxx85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winye55.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('btwdinsClipSrvMSDTC');
BC_DeleteSvc('ClipSrvMSDTC');
BC_DeleteSvc('ClipSrvSSDPSRV');
BC_DeleteSvc('clr_optimization_v2.0.50727_32BITS');
BC_DeleteSvc('helpsvcRasMan');
BC_DeleteSvc('HidServSENSNetmanShellHWDetection');
BC_DeleteSvc('msvsmon90xmlprov');
BC_DeleteSvc('NetDDENla');
BC_DeleteSvc('NetmanCiSvc');
BC_DeleteSvc('NetmanLmHosts');
BC_DeleteSvc('NetTcpPortSharingHidServ');
BC_DeleteSvc('NtLmSspdmadmin');
BC_DeleteSvc('NtmsSvcTlntSvr');
BC_DeleteSvc('PolicyAgentCiSvc');
BC_DeleteSvc('PolicyAgentRSVP');
BC_DeleteSvc('PolicyAgentSwPrv');
BC_DeleteSvc('PolicyAgentVSS');
BC_DeleteSvc('RemoteRegistryPlugPlay');
BC_DeleteSvc('SENSNetman');
BC_DeleteSvc('SENSNetmanShellHWDetection');
BC_DeleteSvc('TapiSrvRemoteAccess');
BC_DeleteSvc('TermServicePolicyAgentRSVP');
BC_DeleteSvc('WebClientstisvc');
BC_DeleteSvc('wscsvcPolicyAgent');
BC_DeleteSvc('wscsvcRSVP');
BC_DeleteSvc('Winye55');
BC_DeleteSvc('Winxx85');
BC_DeleteSvc('Winty28');
BC_DeleteSvc('Wintx14');
BC_DeleteSvc('Winsn06');
BC_DeleteSvc('Winsd63');
BC_DeleteSvc('Winqb33');
BC_DeleteSvc('Winnx60');
BC_DeleteSvc('Winni41');
BC_DeleteSvc('Winkp82');
BC_DeleteSvc('Winfp71');
BC_DeleteSvc('Winfp22');
BC_DeleteSvc('Winet73');
BC_DeleteSvc('Winee66');
BC_DeleteSvc('Winds36');
BC_DeleteSvc('Windn06');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы.
- Прикрепите логи к новому сообщению.
-
-
Junior Member
- Вес репутации
- 57
-
Еще одну тему откроете - получите бан!!!
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Настёнка\hkhr.exe \s
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\jtqshaj.exe','');
QuarantineFile('C:\Documents and Settings\Настёнка\hkhr.exe','');
DeleteService('SENSNOD32krn');
DeleteFile('C:\WINDOWS\system32\jtqshaj.exe');
DeleteFile('C:\Documents and Settings\Настёнка\hkhr.exe');
DelBHO('{A5366673-E8CA-11D3-9CD9-0090271D075B}');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('SENSNOD32krn');
executerepair(5);
executerepair(6);
executerepair(8);
RegKeyStrParamWrite('HKEY_USERS','.DEFAULT\Control Panel\Desktop','Wallpaper','');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2 правил).
- Прикрепите логи к новому сообщению.
-
-
Junior Member
- Вес репутации
- 57
Здравствуйте! Спасибо большое!!! Всё помогло!!! Очень Вам благодарна!!!! =)))
-
Сообщение от
Nastena1986
Всё помогло!!!
Логи повторите, плиз.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 48
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\настёнка\\hkhr.exe - Trojan-Proxy.Win32.Agent.baq (DrWEB: Trojan.Spambot.3561)
- c:\\windows\\system32\\jtqshaj.exe - Trojan-Proxy.Win32.Agent.baq (DrWEB: Trojan.Spambot.3561)
-