Добрый день. Помогите пожалуйста удалить трояна.
Добрый день. Помогите пожалуйста удалить трояна.
Сначала выполним правила http://virusinfo.info/showthread.php?t=1235
Затем будет полный рецепт
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Извините, не нашел прежнюю нашу переписку. Не понятно куда идти на сайте. Пишу новое сообщение. Все прочитал и сделал как сказано. Спасибо за помощь
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\drivers\gxvxckkdaeotawpjyodstyetrtjndjqskspgi.sys',''); QuarantineFile('C:\autorun.inf',''); QuarantineFile('C:\PROGRA~1\COMMON~1\SYMANT~1\SymcData\IDS-DI~1\20040813.178\symidsco.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\hiber_WMILIB.SYS',''); QuarantineFile('C:\WINDOWS\system32\drivers\lgsnd_filter.sys',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\ndisipo.sys',''); QuarantineFile('C:\DOCUME~1\FE66~1\LOCALS~1\Temp\nxkagakj.sys',''); QuarantineFile('C:\WINDOWS\system32\dll.dll',''); QuarantineFile('C:\WINDOWS\system\lgprhook.dll',''); QuarantineFile('C:\WINDOWS\TEMP\tempo-34796140.tmp',''); QuarantineFile('C:\WINDOWS\system32\system32\gxvxcwonepapcnvrywfyxxealpjrvvslfnbgr.dll',''); QuarantineFile('C:\WINDOWS\system32\system32\gxvxcucnfdeqgnwjyvxgbilnhussxpssroomo.dll',''); TerminateProcessByName('c:\windows\temp\tempo-34796140.tmp'); QuarantineFile('c:\windows\temp\tempo-34796140.tmp',''); DeleteFile('c:\windows\temp\tempo-34796140.tmp'); DeleteFile('C:\WINDOWS\system32\system32\gxvxcucnfdeqgnwjyvxgbilnhussxpssroomo.dll'); DeleteFile('C:\WINDOWS\system32\system32\gxvxcwonepapcnvrywfyxxealpjrvvslfnbgr.dll'); DeleteFile('C:\WINDOWS\TEMP\tempo-34796140.tmp'); DeleteFile('C:\WINDOWS\system32\dll.dll'); DeleteFile('C:\DOCUME~1\FE66~1\LOCALS~1\Temp\nxkagakj.sys'); DeleteFile('C:\WINDOWS\system32\drivers\gxvxckkdaeotawpjyodstyetrtjndjqskspgi.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по красной ссылке вверху этой темы "Прислать запрошенный карантин"
2.Повторить логи
The worst foe lies within the self...
Все сделал как было приказано. Спасибо
И еще раз:
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\TEMP\tempo-183312.tmp',''); TerminateProcessByName('c:\windows\temp\tempo-183312.tmp'); QuarantineFile('c:\windows\temp\tempo-183312.tmp',''); DeleteFile('c:\windows\temp\tempo-183312.tmp'); DeleteFile('C:\WINDOWS\TEMP\tempo-183312.tmp'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
3. и опять новые логиКод:O2 - BHO: Доступ к платному контенту FieryAds v2.0.0 - {6D125299-C2A9-4DBC-BEC3-6F7124E39A41} - (no file) O17 - HKLM\System\CCS\Services\Tcpip\..\{301AFFE3-BABC-41CA-B34D-F9803E0178EE}: NameServer = 85.255.112.183,85.255.112.204 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.183,85.255.112.204 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.183,85.255.112.204
Добавлено через 6 минут
И потом еще один:
Код:begin DeleteFile('c:\RECYCLER\S-4-0-19-100026453-100006562-100006422-9474.com'); DeleteFile('C:\autorun.inf'); ExecuteSysClean; end.
Последний раз редактировалось Kuzz; 11.06.2009 в 19:46. Причина: Добавлено
The worst foe lies within the self...
Готово
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\dll.dll',''); QuarantineFile('C:\autorun.inf',''); QuarantineFile('C:\WINDOWS\TEMP\tempo-447265.tmp',''); DeleteFile('C:\WINDOWS\TEMP\tempo-447265.tmp'); DeleteFile('C:\autorun.inf'); DeleteFile('C:\WINDOWS\system32\dll.dll'); DeleteFile('C:\Windows\Tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job'); DeleteFileMask('C:\WINDOWS\TEMP', '*.*', true); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); BC_ImportAll; ExecuteSysClean; BC_Activate; SetAVZPMStatus(True); RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделать логи AVZ + еще раз сделать лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Добрый день,
в оперативке вируса не показывает. высылаю вчера запрошеные файлы
Выполните скрипт в AVZ
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exeКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('SYMIDSCO'); DeleteFile('C:\PROGRA~1\COMMON~1\SYMANT~1\SymcData\IDS-DI~1\20040813.178\symidsco.sys'); ExecuteSysClean; RebootWindows(false); end.
И запустите cleanup.batКод:gmer.exe -del service gxvxcserv.sys gmer.exe -del file "C:\WINDOWS\system32\drivers\gxvxckkdaeotawpjyodstyetrtjndjqskspgi.sys" gmer.exe -del file "C:\WINDOWS\system32\gxvxcucnfdeqgnwjyvxgbilnhussxpssroomo.dll" gmer.exe -del file "system32\gxvxcwonepapcnvrywfyxxealpjrvvslfnbgr.dll" gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys" gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys" gmer -reboot
Сделать новый лог gmer и лог HiJack
Последний раз редактировалось thyrex; 12.06.2009 в 09:55.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Скрипт выполнил и бат выполнил.
Повторите еще раз выполнение скрипта для gmer
На время его выполнения отключите антивирус
Сделайте после этого новый лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
антивир отключил в taskmanager.
internet отключил
скрипт gmer запустил неск раз
служба не убивается
Скачайте IceSword
Распакуйте в отдельную папку и запустите.
В нижнем левом углу нажмите Files. Появится аналог проводника
Найдите файлы
Затем правой кнопкой мыши - force delete каждомуКод:C:\WINDOWS\system32\drivers\gxvxckkdaeotawpjyodstyetrtjndjqskspgi.sys C:\WINDOWS\system32\gxvxcucnfdeqgnwjyvxgbilnhussxpssroomo.dll C:\WINDOWS\system32\gxvxcwonepapcnvrywfyxxealpjrvvslfnbgr.dll
Выберите Registry. Найти и удалить ветви реестра
Код:HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Ребята, СПАСИБО, вы класс. Вроде вируса не обнаружил. Но не обнаружил что бы убить
"C:\WINDOWS\system32\drivers\gxvxckkdaeotawpjyodst yetrtjndjqskspgi.sys"
Спасибо еще раз. Я счастлив.
Добрый день,
Высылаю логи. Как и должен был.
Лог gmer чист
Ваш провайдер?
Если нет, то пофиксить в HiJackorg-name: UkrTeleGroup Ltd.
address: UkrTeleGroup Ltd.
Mechnikova 58/5
65029 Odessa
Ukraine
и ввести свои настройки (если не знаете, сначала узнать, а только потом фиксить)Код:O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.137,85.255.112.100 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.137,85.255.112.100
Сделайте новый лог HiJack
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Провайдер: Уралсвязьинформ (U-tel) Пермь. Спасибо большое
Пофиксили? Где новый лог HiJack?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Уважаемый(ая) Vitizan, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.