-
Junior Member
- Вес репутации
- 53
Olmarik и другие вирусы
Помогите! Уже не знаю куда деваться от этих вирусов:
Olmarik висит в Оперативной памяти (Nod32 не может удалить)
Не могу зайти в Безопасный режим f8 не помогает.
При загрузке в обычном режиме выскакивает синий экран с надпись"Для подтверждения лицензионной ОС Windows отправьте смс на номер ...."
ctfmon.exe касперский нашел и удалил, но он остался прописанным в реестре. Что либо сделать могу только при выборочном автозапуске, без загрузки почти всех программ.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\ff_vfw.dll','');
QuarantineFile('C:\WINDOWS\system32\dwmapi.dll','');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
ExecuteWizard('TSW', 1, 1, true);
ExecuteWizard('BT', 1, 1, true);
RebootWindows(false);
end.
Загрузите карантин согласно приложению №3 правил.
-
-
+ к совету Maxim
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\aliserv3.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\aliserv3.sys');
QuarantineFile('C:\WINDOWS\system32\alil.dll','');
DeleteFile('C:\WINDOWS\system32\alil.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(10);
ExecuteRepair(16);
SetAVZPMStatus(True);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Вот новые логи и выслала новый карантин, правда не знаю что изменилось, тк НОД пишет, что Олмарик сидит в памяти.
И после последнего скрипта комп не перезагрузился (с рабочего стола все исчезло, а перезгрузила ресетом)
-
Junior Member
- Вес репутации
- 53
А еще ситема просит скачать обновления Виндоуз
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\rotscxtjwbfxkd.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\rotscxtjwbfxkd.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
-
сохраните содержимое в блокноте как 1.bat в папке со gmer ... запустите
Код:
c6xq9diw.exe -del service rotscxamrxfyxu
c6xq9diw.exe -del file "C:\WINDOWS\system32\drivers\rotscxtjwbfxkd.sys"
c6xq9diw.exe -del file "C:\WINDOWS\system32\rotscxiesmnsfo.dll"
c6xq9diw.exe -del file "C:\WINDOWS\system32\drivers\rotscxlwmivkpj.dat"
c6xq9diw.exe -del file "C:\WINDOWS\system32\rotscxuapmfsfm.dll"
c6xq9diw.exe -del file "C:\WINDOWS\system32\drivers\rotscxltwtaoyr.dat"
c6xq9diw.exe -del file "C:\WINDOWS\system32\rotscxadjdtakg.dll"
c6xq9diw.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\rotscxamrxfyxu"
c6xq9diw.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\rotscxamrxfyxu"
c6xq9diw -reboot
повторите логи
-
-
Junior Member
- Вес репутации
- 53
Gmer пишет:
An error 0x00000002 occured during the deketion of file: "C:\WINDOWS\system32\drivers\rotscxtjwbfxkd.sy s" :Не удается найти указанный файл.
Логи делать? Или что-то не так пошло?
-
-
-
Junior Member
- Вес репутации
- 53
Получается? А то пока не вижу разницу. Я еще в обычном режим не загружала. )) Вот и новые логи:
-
В логах больше ничего плохого не видно.
Лог gmer тоже можно повторить на всякий случай.
Что с проблемой?
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Windows нашла какое-то новое оборудование и пытается найти к нему драйвера, раньше такого не было. ???
Я еще не загружала в обычном режиме, т.к. смущают процессы в автозапуске:
элемент загрузки команда
ALCMTR ALCMTR.exe
cftu C:\WINDOWS\system32\cftu.exe
ctfmon C:\WINDOWS\ctfmon.exe
RTHDCPL RTHDCPL.exe
setup F:\setup.exe (F-это CD привод)
is-NMC4K C:\PROGRA~1\VIRUSR~1\is-NMC4K\startup.exe "C:\Program Files\VirusRemovalTool\is-NMC4K \is-NMC4K .exe" -gui -bl
QuickTV C:\PROGRA~1\AverTV\QuickTV.exe
У всех расположение SOFTWARE\Microsoft\Windows\Current Version\run
кроме последних двух, у них startup
И менее подозрительные (относящиеся к акробaту и файнридеру и др.)
Reader_sl
AbbyyNewsReader
NMIndexStoreSvr
NeroCheck
PDVDServ
hpg2wnd
А вот лог
-
Junior Member
- Вес репутации
- 53
Ааа, чуть не забыла, проверила Нодом он успешно удалил Олмарик из карантина AVZ и еще 40 зараженных файлов из C:\WINDOSW\Temp
Добавлено через 6 часов 19 минут
Посмотрите, все ли нормально?
Последний раз редактировалось Keni; 22.09.2009 в 21:24.
Причина: Добавлено
-
ALCMTR ALCMTR.exe
RTHDCPL RTHDCPL.exe
Относится к звуку
ctfmon C:\WINDOWS\ctfmon.exe - системный процесс
is-NMC4K C:\PROGRA~1\VIRUSR~1\is-NMC4K\startup.exe "C:\Program Files\VirusRemovalTool\is-NMC4K \is-NMC4K .exe" -gui -bl
Это от AVP Tool
QuickTV C:\PROGRA~1\AverTV\QuickTV.exe - это от ТВ-тюнера
setup F:\setup.exe (F-это CD привод) - Вам виднее, что у Вас запускалось с CD
C:\WINDOWS\system32\cftu.exe - если найдется на диске, запакуйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
AVZ не находит как файл, но он прописан в реестре так:
Модуль для поиска данных в реестре, Зайцев О.В., 2004., http://z-oleg.com/secur
Запущен поиск ключей, содержащих образец "cftu"
-- Поиск в HKEY_LOCAL_MACHINE --
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\cftu\ =
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\cftu\item = cftu
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\cftu\command = C:\WINDOWS\system32\cftu.exe
-- Поиск в HKEY_CURRENT_USER --
-- Поиск в HKEY_CLASSES_ROOT --
-- Поиск в HKEY_USERS --
-- Поиск завершен --
Просмотрено ключей: 405740
Добавлено через 9 минут
а еще в том же разделе в реестре прописана папка zzzHPSetup, где команда: F:setup.exe??? Это нормально?
Последний раз редактировалось Keni; 23.09.2009 в 01:27.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 53
Спасибо огромное, теперь появился доступ в безопасный режим .
На диске С скрытые файлы: khs, kht, khu (насколько понимаю остатки от вируса csrcs.exe, который чистился через реестр)
Проверила с помощью VRTools удалил из карантина AVZ вирусы и нашел новые из серии rotscx* , а так же множество файлов упакованные PE_Patch. Прикрепляю лог из касперского.
-
Junior Member
- Вес репутации
- 53
Вот нашла устройство, которое постоянно хочет обновиться
Код экземпляра устройства ROOT\LEGACY_UZEZNZA5\0000
И что с ним делать?
-
Что-то антивирус прибил в карантине AVZ, что-то из неактивных остатков.
Устройство - драйвер AVZ
Удалите его в списке устройств.
Выполнить скрипт
Код:
begin
SetAVZPMStatus(False);
ExecuteStdScr(6);
RebootWindows(true);
end.
Компьютер перезагрузится.
После перезагрузки устройство не появилось?
Сообщение от
Keni
На диске С скрытые файлы: khs, kht, khu
Да, это должно быть прихвостни csrcs.exe
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
А как их убить (khs, kht, khu ) и что могло остаться еще от этого вируса csrcs?
Добавлено через 6 минут
Комп перезагрузился, а устройство опять пытается установиться. Причем при наведении на всплывающее окно-подсказку оно быстро сворачивается, как будто ничего не было.ХМ
Последний раз редактировалось Keni; 25.09.2009 в 02:30.
Причина: Добавлено