Junior Member
Вес репутации
60
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Отключите восстановление системы!
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\ugxlib.dll','');
QuarantineFile('msansspc.dll','');
QuarantineFile('crypts.dll','');
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\mmmizuld.dll','');
QuarantineFile('C:\WINDOWS\system32\digeste.dll','');
QuarantineFile('C:\Documents and Settings\LocalService\gmsxflrxejpvbhnsyekqw.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winlr41.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\wyrdevut.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
QuarantineFile('C:\WINDOWS\system32\crypts.dll','');
DeleteFile('C:\WINDOWS\system32\crypts.dll');
DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\wyrdevut.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winlr41.sys');
DeleteFile('C:\Documents and Settings\LocalService\gmsxflrxejpvbhnsyekqw.exe');
DeleteFile('C:\WINDOWS\system32\digeste.dll');
DeleteFile('C:\WINDOWS\system32\mmmizuld.dll');
DeleteFile('WinCtrl32.dll');
DeleteFile('crypts.dll');
DeleteFile('msansspc.dll');
DeleteFile('C:\Documents and Settings\All Users\Application Data\ugxlib.dll');
DeleteFile('C:\autorun.inf');
DelBHO('{C5FD9DEB-DE01-47A7-9F69-5FF0FAEC89C3}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Winlr41');
BC_DeleteSvc('i386si');
BC_DeleteSvc('cmcnirpcrpw');
BC_DeleteSvc('wuauservPolicyAgent');
BC_DeleteSvc('SamSsNetlogonWZCSVC');
BC_DeleteSvc('ProtectedStorageDcomLaunch');
BC_DeleteSvc('NetlogonWZCSVC');
BC_DeleteSvc('lanmanworkstationCiSvc');
BC_DeleteSvc('ClipSrvdmadmin');
BC_DeleteSvc('BrowserMessenger');
BC_DeleteSvc('aspnet_stateNla');
BC_DeleteSvc('ANIWZCSdServiceMessenger');
BC_DeleteSvc('ANIWZCSdServiceHTTPFilter');
BC_Activate;
ExecuteRepair(9);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=41468 ).
Сделайте новые логи.
I am not young enough to know everything...
Junior Member
Вес репутации
60
логи сделал, карантин отправил, проблем вроде нет... или все же есть?
Вложения
Пофиксите в HijackThis:
Код:
O20 - Winlogon Notify: crypt - C:\WINDOWS\
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
Выполните скрипт в AVZ:
Код:
begin
SetAVZGuardStatus(True);
DeleteFile('digeste.dll');
DeleteFile('C:\WINDOWS\Kusje.scr');
DeleteFile('C:\WINDOWS\system32\mmmizuld.rar');
ExecuteSysClean;
ClearQuarantine;
RebootWindows(true);
end.
Компьютер перезагрузится.
Больше ничего плохого нет.
Ставьте SP3 + последующие обновления.
I am not young enough to know everything...
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 11 В ходе лечения обнаружены вредоносные программы:
c:\documents and settings\all users\application data\ugxlib.dll - Trojan-Ransom.Win32.Hexzone.ahc ( DrWEB: Adware.Bho.438 ) c:\documents and settings\localservice\gmsxflrxejpvbhnsyekqw.exe - Backdoor.Win32.Agent.aeox ( BitDefender: Gen:Trojan.Heur.2404FBDDDD ) c:\system volume information\_restore{902c16ce-000d-4bea-9c90-78079b4ad41d}\rp621\a0237744.dll - Trojan.Win32.Agent.bugp ( DrWEB: Trojan.Click.origin, BitDefender: Trojan.Generic.1557841 ) c:\windows\system32\crypts.dll - Trojan-Downloader.Win32.Small.jhg ( BitDefender: Trojan.Generic.1447772 ) c:\windows\system32\digeste.dll - Trojan-Dropper.Win32.Agent.ahxa ( BitDefender: Trojan.Waledac.Gen.1 ) c:\windows\system32\drivers\i386si.sys - Rootkit.Win32.Agent.gvv ( DrWEB: Trojan.DownLoad.24465, BitDefender: Rootkit.14641 ) c:\windows\system32\drivers\wyrdevut.sys - Rootkit.Win32.Pakes.mm ( BitDefender: Rootkit.15403 ) c:\windows\system32\mmmizuld.dll - Trojan.Win32.Agent.bugp ( DrWEB: Trojan.Click.origin, BitDefender: Trojan.Generic.1557841 ) c:\windows\system32\mmmizuld.rar - Trojan.Win32.Agent.bugp ( DrWEB: archive: Trojan.Click.origin, BitDefender: Trojan.Generic.1557841 )