Помогите плиз , сам не смог отлечить.
moderated::: *Не постите и не прикрепляйте никакие другие файлы или протоколы, кроме логов HijackThis и AVZ, если Вас об этом не просили.
Помогите плиз , сам не смог отлечить.
moderated::: *Не постите и не прикрепляйте никакие другие файлы или протоколы, кроме логов HijackThis и AVZ, если Вас об этом не просили.
Последний раз редактировалось SlyAss; 10.07.2009 в 14:40.
Логи выполняются ТОЛЬКО в нормальном режиме.Система загружена в режиме защиты от сбоев с поддержкой сети (SafeMode)
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите
- Выполните скриптКод:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twex.exe,C:\WINDOWS\system32\sdra64.exe,
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\csrcs.exe',''); QuarantineFile('C:\WINDOWS\system32\twex.exe',''); QuarantineFile('C:\WINDOWS\system32\sdra64.exe',''); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); DeleteFile('C:\WINDOWS\system32\twex.exe'); DeleteFile('C:\WINDOWS\system32\csrcs.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; SetAVZPMStatus(True); RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
после выполнения скрипта комп перезагружается , но в explorer не попадает, windows заблокирована отправьте смс
Почитайте: http://virusinfo.info/showthread.php?t=44817 если еще не читали...
- Выполните скрипт (можно в безопасном режиме).
После перезагрузки сделайте все из сообщения #2Код:begin SetAVZPMStatus(false); RebootWindows(true); end.
Спасибо огромное за оперативную работу
Последний раз редактировалось SlyAss; 10.07.2009 в 14:40.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\WINDOWS\system32\drivers\aliserv3.sys',''); QuarantineFile('C:\WINDOWS\system32\RegSrvc.exe',''); DeleteFile('C:\WINDOWS\system32\drivers\aliserv3.sys'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
Сделал
Последний раз редактировалось SlyAss; 10.07.2009 в 14:40.
Восстановление системы: включено
Кто просил включать?
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\WINDOWS\system32\alil.dll',''); DeleteFile('C:\WINDOWS\system32\alil.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
+
лог gmer
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
черт в gmere опять скайнет ((((
Последний раз редактировалось SlyAss; 10.07.2009 в 14:40.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\drivers\SKYNETewbsblns.sys',''); QuarantineFile('C:\WINDOWS\system32\SKYNETiqssvhgt.dat',''); QuarantineFile('C:\WINDOWS\system32\SKYNETtwwyvekr.dll',''); QuarantineFile('C:\WINDOWS\system32\SKYNETpfpxtmsn.dat',''); QuarantineFile('C:\WINDOWS\system32\SKYNETsfvcvrev.dll',''); DeleteFile('C:\WINDOWS\system32\drivers\SKYNETewbsblns.sys'); DeleteFile('C:\WINDOWS\system32\SKYNETiqssvhgt.dat'); DeleteFile('C:\WINDOWS\system32\SKYNETtwwyvekr.dll'); DeleteFile('C:\WINDOWS\system32\SKYNETpfpxtmsn.dat'); DeleteFile('C:\WINDOWS\system32\SKYNETsfvcvrev.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
И запустите cleanup.batКод:gmer.exe -del service SKYNETvxaabsie gmer.exe -del file "C:\WINDOWS\system32\drivers\SKYNETewbsblns.sys" gmer.exe -del file "C:\WINDOWS\system32\SKYNETiqssvhgt.dat" gmer.exe -del file "C:\WINDOWS\system32\SKYNETtwwyvekr.dll" gmer.exe -del file "C:\WINDOWS\system32\SKYNETpfpxtmsn.dat" gmer.exe -del file "C:\WINDOWS\system32\SKYNETsfvcvrev.dll" gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\SKYNETvxaabsie" gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\SKYNETvxaabsie" gmer.exe -reboot
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи AVZ + новый лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Сделал, cleanup.bat говорил что данных файлов не найдено, после перезагрузки, при попытке сделать новые логи, через примерно 5 мин комп выбило в синий экран и так 2 раза. сделал логи в безопасном режиме только(
Последний раз редактировалось SlyAss; 10.07.2009 в 14:40.
Эвристику поставьте на средний уровень. Зачем Вам максимум...
После этого попытайтесь сделать логи в обычном режиме
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Эвристика сама так ставится, когда говорю выполнить скрипты для сбора, поменять не могу, окно с выбором скриптов не дает, а как поменять?
AVZ - вкладка Параметры поиска - Эвристический анализатор - какой уровень эвристики стоит?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
вот сделал
по умолчанию стоит средний, но когда нажимаю выполнить стандартные скрипты, для Помогите, он поднимается наверх
Последний раз редактировалось SlyAss; 10.07.2009 в 14:40.
В логах чисто. А что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Ну значит все , спасибо вам огромное virusifo.info руль , а синий экран спишем на глюк винды сейчас вроде все хорошо работает
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 24
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\sdra64.exe - Trojan-Spy.Win32.Zbot.wwu ( DrWEB: Trojan.PWS.Panda.114, BitDefender: Gen:Trojan.Heur.Dropper.D0837C7C7C )
- c:\windows\system32\twex.exe - Trojan-Spy.Win32.Zbot.xmi ( DrWEB: Trojan.Inject.5847, BitDefender: Gen:Trojan.Heur.Dropper.9013ECECEC )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) SlyAss, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.