В безопасном режиме система не запускается. Показ скрытых и системных файлов в Проводнике не включается. Как в avz отключить скрытые сервисы, не понял. Запустил gmer, который показал rootkit. Прикладываю лог gmer.log.
В безопасном режиме система не запускается. Показ скрытых и системных файлов в Проводнике не включается. Как в avz отключить скрытые сервисы, не понял. Запустил gmer, который показал rootkit. Прикладываю лог gmer.log.
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:После выполнения скрипта компьютер перезагрузится!Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sndrv.exe',''); QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\pwtdqpog.sys',''); DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612'); QuarantineFile('C:\WINDOWS\system32\mukqwutz.dll',''); DeleteFile('C:\WINDOWS\system32\mukqwutz.dll'); DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\pwtdqpog.sys'); DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sndrv.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteRepair(10); RebootWindows(true); end.
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe (gmer)
И запустите cleanup.bat.Код:gmer.exe -del service ezwljazz gmer.exe -del service ruxqcceas gmer.exe -del file "C:\WINDOWS\system32\mukqwutz.dll" gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ezwljazz" gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ruxqcceas" gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ezwljazz" gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ruxqcceas" gmer.exe -reboot
Компьютер перезагрузится!
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи AVZ и gmer
Запустил скрипт AVZ. Система зависла. Ресет. Зависание после перезагрузки. В безопасном режиме система запустилась. Запустил скрипт AVZ, перезагрузка, но карантин пустой. Запустил clean.bat. В нормальном режиме система сильно тормозит. Лог AVZ прикладываю. Лог gmer, в котором красноты не было, ошибочно не сохранил.
выполните скрипт в AVZ:Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы.Код:begin QuarantineFile('C:\WINDOWS\system32\userinit.exe',''); end.
Сделайте всё-таки лог gmer + hijack, virusinfo_syscure.zip
AVZ скриптом или через кнопку в Поиск файлов на диске не поместил файл 'C:\WINDOWS\system32\userinit.exe' в карантин. Не пойму, что не так. Через Поиск... отправил файл sysdriv.exe в карантин, который сел на флэшку в каталог Driver. Добавляю все логи снова. Есть файл virusinfo_cure.zip. Попробую отправить по правилам, а то раньше еще не пробовал.
Компьютер оставлял без антивируса на неделю. В нормальном и безопасном режиме работает. Показ скрытых файлов в обоих режимах не устанавливается.
потерялся. наверное из-за размера
Установите надежные пароли на учетные записи пользователей с правами администратора.
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
Компьютер перезагрузится.Код:begin SetAVZGuardStatus(True); ExecuteRepair(8); ExecuteRepair(6); RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); ExecuteWizard('TSW', 2, 2, true); DeleteFile('C:\WINDOWS\tasks\At*.job'); QuarantineFile('c:\program files\adobe\acrotray .exe',''); QuarantineFile('c:\program files\internet explorer\wmpscfgs.exe',''); QuarantineFile('c:\windows\system32\sounone.exe',''); QuarantineFile('c:\docume~1\user\locals~1\temp\3628976.exe',''); DeleteFile('C:\WINDOWS\system32\sounone.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','quibouw'); DeleteFile('c:\program files\internet explorer\wmpscfgs.exe'); DeleteFile('c:\docume~1\user\locals~1\temp\3628976.exe'); DeleteFile('800907.exe'); DeleteFile('C:\program files\internet explorer\wmpscfgs.exe'); DeleteFile('C:\Documents and Settings\user\Application Data\gkewzr.exe'); DeleteFile('c:\program files\adobe\acrotray .exe'); DeleteFile('F:\Driver\sysdriv.exe'); DeleteFile('F:\autorun.inf'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Выполните в AVZ скрипт из файла ScanVuln.txt и приложите к этой теме файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедится, что уязвимости устранены.
Обновите базы AVZ.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
Пароли создал/изменил.
Скрипт выполнил. Карантин отправил. В карантин не попал acrotray .exe - возможно его удалила установленная Avira. После перезагрузки назначенные задания остались (создались заново) - удалил вручную. Пропал сброс флажка "Показывать скрытые и системные файлы".
Скрипт из файла ScanVuln.txt выполнил. Уязвимости не обнаружены.
Базы AVZ обновил. Скрипт помогите прикладываю.
Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); SetAVZPMStatus(True); DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); ExecuteWizard('TSW', 2, 2, true); SetServiceStart('maeo9u0z', 4); QuarantineFile('c:\program files\internet explorer\wmpscfgs.exe',''); QuarantineFile('C:\WINDOWS\system32\hkcmd.exe',''); QuarantineFile('C:\WINDOWS\system32\nocoudewouj.exe',''); SetServiceStart('F-Secure Filter', 4); SetServiceStart('F-Secure Gatekeeper', 4); SetServiceStart('F-Secure Recognizer', 4); SetServiceStart('FSMA', 4); SetServiceStart('fsbwsys', 4); SetServiceStart('F-Secure Network Request Broker', 4); SetServiceStart('F-Secure Gatekeeper Handler Starter', 4); SetServiceStart('F-Secure BackWeb LAN Access', 4); DeleteService('maeo9u0z'); SetServiceStart('u1aaoj7y', 4); QuarantineFile('C:\WINDOWS\system32\leryji.exe',''); DeleteService('u1aaoj7y'); QuarantineFile('c:\windows\system32\massolyc.exe',''); QuarantineFile('c:\windows\system32\hkcmd.exe',''); QuarantineFile('C:\WINDOWS\system32\hkcmd .exe',''); DeleteFile('C:\WINDOWS\system32\hkcmd .exe'); DeleteFile('c:\windows\system32\hkcmd.exe'); DeleteFile('c:\windows\system32\massolyc.exe'); DeleteFile('C:\WINDOWS\system32\app_dll.dll'); DeleteFile('C:\WINDOWS\system32\leryji.exe'); DeleteFile('C:\WINDOWS\system32\massolyc.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\fsbwsys','EventMessageFile'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\System\F-Secure Gatekeeper','EventMessageFile'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\BackWeb Plug-in - 7681197','EventMessageFile'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\F-Secure BackWeb LAN Access','EventMessageFile'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\F-Secure Anti-Virus','EventMessageFile'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\F-Secure AVP','EventMessageFile'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\F-Secure Management Agent','EventMessageFile'); DeleteFile('C:\WINDOWS\system32\nocoudewouj.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','HotKeysCmds'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','louwumu'); DeleteFile('C:\WINDOWS\system32\hkcmd.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Adobe_Reader'); DeleteFile('c:\program files\internet explorer\wmpscfgs.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.
Сделайте новый лог по пункту 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
После скрипта комп завис - ресет, в карантине оказались только C:\WINDOWS\system32\leryji.exe и c:\windows\system32\massolyc.exe.
Остальные достал из карантина Авиры. Но файл с пробелом?
QuarantineFile('C:\WINDOWS\system32\hkcmd .exe','');
не удается добавить в карантин avz ни скриптом, ни по списку. А сейчас удалил безвозвратно.
Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
Компьютер перезагрузится.Код:begin SetAVZGuardStatus(False); DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); BC_DeleteSvc('ichidksimbf'); QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\cfvqhpxfbfa.sys',''); BC_DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\cfvqhpxfbfa.sys'); BC_ImportAll; BC_Activate; RebootWindows(true); end.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.
Сделайте новый лог по пункту 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
Проблема решена?
Скрипт запустил. Карантин пуст. До запуска скрипта тоже не обнаружил этот файл 'C:\DOCUME~1\user\LOCALS~1\Temp\cfvqhpxfbfa.sys'. Антивирь F-Secure не удалялся через установку и удаление программ. Использовал деинсталятор с сайта разработчика. Но в логе AVZ осталась служба C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE. Подскажите, как правильно удалить эту запись и где почитать про применение AVZ.
Спасибо, проблемы с руткитом и блокировкой показа скрытых файлов решены.
Вот этот uninstall использовали?
Закройте все программы, выполните скрипт в AVZ:ПК перезагрузится.Код:begin SetAVZGuardStatus(True); DeleteService('BackWeb Plug-in - 7681197'); DeleteFile('C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Почитать про AVZ можно в справке самой утилиты или тут
Uninstallation Tool 3.0 build 630 скачал с ftp://ftp.f-secure.com/support/tools/uitool. У файлов более свежая дата чем UITool3-420.zip на указанной вами странице.
Почему-то сервис в логе AVZ остался после скрипта DeleteService('BackWeb Plug-in - 7681197'); Удалил через диспетчер служб и драйверов AVZ на вкладке "Сервисы (по анализу реестра)".
Еще раз большое спасибо. С этим компьютером все замечательно.
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 12
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\user\application data\gkewzr.exe - Trojan.Win32.VB.adwx ( DrWEB: BackDoor.IRC.Bot.267, BitDefender: IRC-Worm.Generic.10514, AVAST4: Win32:Malware-gen )
- c:\docume~1\user\locals~1\temp\3628976.exe - Trojan-Downloader.Win32.Small.aqsw ( DrWEB: BackDoor.Siggen.14741, BitDefender: Trojan.Agent.APHT, AVAST4: Win32:Crypt-GCF [Trj] )
- c:\program files\internet explorer\wmpscfgs.exe - Trojan-Clicker.Win32.Cycler.ozg ( DrWEB: Win32.HLLC.Asdas.4, BitDefender: Trojan.Agent.APFB, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\app_dll.dll - Trojan.Win32.FraudPack.apul ( DrWEB: Trojan.Siggen.59885, BitDefender: Trojan.Generic.3602389, AVAST4: Win32:Spambot-EL [Trj] )
- c:\windows\system32\hkcmd.exe - Trojan-Clicker.Win32.Cycler.ozg ( DrWEB: Win32.HLLC.Asdas.4, BitDefender: Trojan.Agent.APFB, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\leryji.exe - Trojan-Dropper.Win32.Vidro.me ( DrWEB: Trojan.WinSpy.711, AVAST4: Win32:Crypt-GCF [Trj] )
- c:\windows\system32\massolyc.exe - Trojan-Dropper.Win32.Vidro.me ( DrWEB: Trojan.WinSpy.711, AVAST4: Win32:Crypt-GCF [Trj] )
- c:\windows\system32\nocoudewouj.exe - Trojan-Dropper.Win32.Vidro.me ( DrWEB: Trojan.WinSpy.711, AVAST4: Win32:Crypt-GCF [Trj] )
- c:\windows\system32\sounone.exe - Trojan-Dropper.Win32.Vidro.me ( DrWEB: Trojan.WinSpy.711, AVAST4: Win32:Crypt-GCF [Trj] )
- f:\driver\sysdriv.exe - Trojan.Win32.VB.adwx ( DrWEB: BackDoor.IRC.Bot.267, BitDefender: IRC-Worm.Generic.10514, AVAST4: Win32:Malware-gen )
Уважаемый(ая) K1n, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.