Здравствуйте.
Перестали запускаться некоторые программы, NOD при запуске системы не может запуститься, заблокирована часть системных функций. AVZ и HijackThis удалось запустить только после переименования.
Здравствуйте.
Перестали запускаться некоторые программы, NOD при запуске системы не может запуститься, заблокирована часть системных функций. AVZ и HijackThis удалось запустить только после переименования.
Здравствуйте. Пофиксить в Hijack следующие строки:Выполнить скриптКод:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
затем следующийКод:begin DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\DRIVERS\cont3flt.sys',''); DeleteService('cont3flt'); QuarantineFile('C:\WINDOWS\System32\Drivers\tticzlat.sys',''); DeleteService('tticzlat'); QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\_uninst_.bat',''); QuarantineFile('C:\WINDOWS\system32\EAPExt161.dll',''); QuarantineFile('C:\WINDOWS\system32\EAPSigner161.exe',''); QuarantineFile('C:\WINDOWS\system32\wmipxty.exe',''); QuarantineFile('c:\windows\system32\wmisfhl.exe',''); TerminateProcessByName('c:\windows\system32\wmisfhl.exe'); DeleteFile('c:\windows\system32\wmisfhl.exe'); DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\_uninst_.bat'); DeleteFile('C:\WINDOWS\System32\Drivers\tticzlat.sys'); DeleteFile('C:\WINDOWS\system32\DRIVERS\cont3flt.sys'); BC_ImportAll; ExecuteSysClean; Executerepair(6); Executerepair(13); ExecuteWizard('TSW', 2, 2, true); BC_Activate; RebootWindows(true); end.
файл quarantine.zip закачайте по ссылке Прислать запрошенный карантинКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
в шапке Вашей темы.
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
Сделайте лог Gmer
После применения скриптов ничего не изменилось. Высылаю повторные логи. Gmer долго сканировал, но в конце сканирования выдал какое-то предупреждение о руткитах и после этого уже ничего не удалось сохранить, появлялось сообщение о недостаточности ресурсов. При повторном сканировании удалось сохранить лог за минуту до окончания сканирования, его и прикладываю.
Закройте/выгрузите все программы кроме AVZ .
Отключите:
- ПК от интернета/локалки;
- антивирус и файрвол.;
- восстановление системы;
- выполните скрипт
Сохраните текст ниже как cleanup.bat в ту же папку, где находится ihksk994.exe (gmer)Код:begin DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true); SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\system32\wmisfhl.exe'); QuarantineFile('C:\WINDOWS\system32\wmipxty.exe',''); QuarantineFile('c:\windows\system32\wmisfhl.exe',''); DeleteFile('c:\windows\system32\wmisfhl.exe'); DeleteFile('C:\WINDOWS\system32\wmipxty.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MS Virtual CLS'); BC_ImportAll; ExecuteSysClean; Executerepair(6); Executerepair(13); ExecuteWizard('TSW', 2, 2, true); BC_Activate; RebootWindows(true); end.
И запустите cleanup.bat. Компьютер перезагрузится.Код:ihksk994.exe -del service jxfgiojps ihksk994.exe -del file "C:\WINDOWS\system32\vcvcm.dll" ihksk994.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\jxfgiojps" ihksk994.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\jxfgiojps" ihksk994.exe -reboot
После выполнить:
- включите антивирус и файрволл
- подключите ПК к интернету/локалке
- закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
Сделать новый лог gmer
Здравствуйте.
После применения скриптов поведение системы не изменилось. Направляю новые логи AVZ, HijackThis и Gmer. Gmer в конце сканирования выдаёт предупреждение: "WARNING! Gmer has found system modification caused by ROOTKIT activity".
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\system32\wmisfhl.exe'); DeleteFile('C:\WINDOWS\system32\wmisfhl.exe'); BC_ImportDeletedList; ExecuteSysClean; ExecuteRepair(6); ExecuteRepair(9); ExecuteRepair(13); BC_Activate; RebootWindows(true); end.
Сделайте новый лог syscheck (только п.2 раздела Диагностика).
I am not young enough to know everything...
Новый лог syscheck
Чисто!
Ставьте SP3 и последующие обновления, иначе это не надолго.
I am not young enough to know everything...
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 22
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\wmisfhl.exe - Trojan.Win32.VB.aaep ( AVAST4: Win32:VB-OFW [Drp] )
Уважаемый(ая) Горшков Александр, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.