Здравствуйте. Одна машина подхватила эту дрянь. Логи - во вложении, сделаны согласно Правилами. С такой отравой столкнулись впервые, пожалуйста, помогите.
Здравствуйте. Одна машина подхватила эту дрянь. Логи - во вложении, сделаны согласно Правилами. С такой отравой столкнулись впервые, пожалуйста, помогите.
Здравствуйте,
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
-Пофиксите:
-Выполните скрипт:Код:F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe O4 - HKLM\..\Run: [sysgif32] C:\WINDOWS\Temp\wpv371255703227.exe O4 - Startup: is-GCO15.lnk = ? O4 - Startup: zavupd32.exe
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; TerminateProcessByName('c:\windows\temp\wpv371255703227.exe'); TerminateProcessByName('c:\documents and settings\kostya_\application data\svcst.exe'); TerminateProcessByName('c:\documents and settings\kostya_\application data\seres.exe'); TerminateProcessByName('c:\documents and settings\kostya_\application data\lizkavd.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','svchost'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','mserv'); QuarantineFile('C:\WINDOWS\Temp\wpv371255703227.exe',''); QuarantineFile('C:\WINDOWS\System32\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll',''); QuarantineFile('C:\Documents and Settings\kostya_\Главное меню\Программы\Автозагрузка\zavupd32.exe',''); QuarantineFile('C:\Documents and Settings\kostya_\Application Data\svcst.exe',''); QuarantineFile('C:\Documents and Settings\kostya_\Application Data\seres.exe',''); QuarantineFile('C:\Documents and Settings\kostya_\Application Data\lizkavd.exe',''); DeleteFile('C:\WINDOWS\Temp\wpv371255703227.exe'); DeleteFile('C:\WINDOWS\System32\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll'); DeleteFile('C:\Documents and Settings\kostya_\Главное меню\Программы\Автозагрузка\zavupd32.exe'); DeleteFile('c:\documents and settings\kostya_\application data\svcst.exe'); DeleteFile('C:\Documents and Settings\kostya_\Application Data\seres.exe'); DeleteFile('C:\Documents and Settings\kostya_\Application Data\lizkavd.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; SetAVZPMStatus(True); RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
Здравствуйте!
Проделали все вышеуказанные процедуры.
Выполните скрипт
Карантин закачайте, логи повторитеКод:begin SearchRootkit(true,true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\dmgr134.sys',''); DeleteFile('C:\WINDOWS\dmgr134.sys'); BC_ImportALL; ExecuteSysClean; BC_LogFile(GetAVZDirectory + 'boot_cleaner.log'); BC_Activate; RebootWindows(true); end.
The Truth is Out There
Сделано.
1. Закройте все приложения, и запустите используемый в Вашей системе интернет браузер (IE, FireFox, Opera ... - если применяется несколько браузеров, то можно запустить их все, это требуется, чтобы AVZ мог проанализировать используемые браузерами модули расширения и плагины)
2. AVZ, меню "Файл\Стандартные скрипты". В открывшемся окне необходимо отметить скрипт номер 4 ("Скрипт сбора неопознанных и подозрительных файлов") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 0.5-2 минуты. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
Закачать архив с файлами можно здесь http://virusinfo.info/upload_clean.php
Обратите внимание на отчёт после завершания закачки:
Размер закачанного файла
MD5 закачанного файла
Имя файла на сервере (добавляется случайная часть во избежании конфликтов имени)
The Truth is Out There
Здравствуйте!
Сделано, извините за задержку.
Файл 091022_052721_virusinfo_files_KOSTYA_4adfb4f9cd52d .zip
Размер 17597326.
MD5 - 97a7960f60f39cf9b82f6861de9858cf.
Проблема решена?
The Truth is Out There
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 39
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\kostya_\application data\lizkavd.exe - Packed.Win32.Krap.ah ( DrWEB: Trojan.Fakealert.5454, BitDefender: Trojan.Generic.2572592, AVAST4: Win32:MalOb-X [Cryp] )
- c:\documents and settings\kostya_\application data\seres.exe - Packed.Win32.Krap.ah ( DrWEB: Trojan.Packed.683, BitDefender: Trojan.CryptRedol.Gen.3, AVAST4: Win32:MalOb-X [Cryp] )
- c:\documents and settings\kostya_\application data\svcst.exe - Packed.Win32.Krap.ah ( DrWEB: Trojan.Packed.683, BitDefender: Trojan.CryptRedol.Gen.3, AVAST4: Win32:MalOb-X [Cryp] )
- c:\windows\dmgr134.sys - Trojan-Ransom.Win32.Agent.gc ( DrWEB: Trojan.Winlock.366 )
- c:\windows\system32\{991f0ad1-da5d-4dc3-b0ba-f46ba0f1d3cb}.dll - Trojan-Ransom.Win32.Agent.gc ( DrWEB: Trojan.Winlock.366, BitDefender: Gen:Trojan.Heur.Hype.cy4@aSUBebjk, NOD32: Win32/LockScreen.CF trojan, AVAST4: Win32:Malware-gen )
- c:\windows\temp\wpv371255703227.exe - Trojan-Proxy.Win32.Small.aeh ( DrWEB: Trojan.Proxy.6207, BitDefender: Trojan.Generic.2586459, AVAST4: Win32:Malware-gen )
Уважаемый(ая) Михаил1500, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.