Здравствуйте
Нашлась вот эта зараза. После лечения AVPTool'ом вирусные файлы появляются вновь (в Temporary Internet Files и пр. местах).
Здравствуйте
Нашлась вот эта зараза. После лечения AVPTool'ом вирусные файлы появляются вновь (в Temporary Internet Files и пр. местах).
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); StopService('TCPZ'); QuarantineFile('C:\WINDOWS\system32\Whuyshlw.dll',''); QuarantineFile('C:\WINDOWS\system32\PFPK4BYQ\E001.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\tcpz-x86d.sys',''); BC_ImportAll; ExecuteWizard('TSW',2,2,true); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- выполните такой скрипт
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Скрипты выполнил. Карантин выслал по ссылке.
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\PFPK4BYQ\E001.exe',''); DeleteFile('C:\WINDOWS\system32\PFPK4BYQ\E001.exe'); DeleteService('vsd'); BC_DeleteSvc('vsd'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); BC_Activate; RebootWindows(true); end.
Повторите логи.
Также сделайте
Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Логи
RSIT
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Кстати, позвольте ламерский вопрос. Как отключить eset? Что только ни пробовал! ekrn всегда появляется
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: Driver:: StpSrv Folder:: c:\windows\system32\HO6UX4N0 c:\windows\system32\FTAGLA8H c:\windows\system32\EZD08FVX c:\windows\system32\D0X1I2HJ c:\windows\system32\CTHVV2Z2 c:\windows\system32\BZKHJ7LJ c:\windows\system32\AS3CV833 c:\windows\system32\7X7WJDQK c:\windows\system32\6RRRVE83 c:\windows\system32\50FXX0UG c:\windows\system32\4QF6VJD4 c:\windows\system32\3RY656YP c:\windows\system32\2SI7FUKB c:\windows\system32\0M11SV3U c:\windows\system32\ZR5NGZPB c:\windows\system32\X0N04NGT c:\windows\system32\WU7VINYD c:\windows\system32\VZBG5SKU c:\windows\system32\UPBQ3C2I c:\windows\system32\TUEBRHOY c:\windows\system32\SNY53H7J c:\windows\system32\QT1QSMTZ c:\windows\system32\PUYK3W4U c:\windows\system32\OKYT2GNJ c:\windows\system32\NP1FQL8Z c:\windows\system32\MJM82LRJ c:\windows\system32\LOPUQQEZ c:\windows\system32\JTSFEVZG c:\windows\system32\INDAQVI0 c:\windows\system32\HOWA0J3L c:\windows\system32\GPGBA6P6 c:\windows\system32\FKDXOUX0 c:\windows\system32\EPGJDZKH c:\windows\system32\CIZEP020 c:\windows\system32\BN3YD4OH c:\windows\system32\AHNTP561 c:\windows\system32\8MREDBTI c:\windows\system32\7RUZ0FFY c:\windows\system32\5LEUDGXI c:\windows\system32\4QIF1LJY c:\windows\system32\3K1AEL1J c:\windows\system32\2P4U1QOZ c:\windows\system32\1JPPER6J c:\windows\system32\ZC8KQRP3 c:\windows\system32\YHC4EWBK c:\windows\system32\XBWZQXT3 c:\windows\system32\WGZLF1GK c:\windows\system32\VAJFR2Y4 c:\windows\system32\UFN0F7KL c:\windows\system32\S86VR724 c:\windows\system32\REAGFDOL c:\windows\system32\Q6UBRE65 c:\windows\system32\PDXVFJTM c:\windows\system32\NYILUW84 c:\windows\system32\MR1G6WRO c:\windows\system32\L6LD08B8 c:\windows\system32\K047DATT c:\windows\system32\JUP2PACD c:\windows\system32\HS5BIFL1 c:\windows\system32\GBWZNLF7 c:\windows\system32\F56G3WEC c:\windows\system32\EBA0R1ZS c:\windows\system32\D4TV31IC c:\windows\system32\BXDQG20V c:\windows\system32\ARBEUQ8P c:\windows\system32\8EU2A3O7 c:\windows\system32\77RQORW1 c:\windows\system32\60BK0SFL c:\windows\system32\4UVFDSX4 c:\windows\system32\3ZY00XJM c:\windows\system32\2HY41TY8 c:\windows\system32\1BJZFUHS c:\windows\system32\0LJXI3TF c:\windows\system32\YRQWC5KO c:\windows\system32\XNQYWQXB c:\windows\system32\WJQZHCBX c:\windows\system32\V2UIO4VD c:\windows\system32\T0BQHA42 c:\windows\system32\SNL00XY4 c:\windows\system32\RUSZUZQE c:\windows\system32\Q1ZYO1HN c:\windows\system32\OKPOT8CT c:\windows\system32\N3GEYF60 c:\windows\system32\M5QZCD74 c:\windows\system32\MDR6LSBT c:\windows\system32\L2I1OL80 c:\windows\system32\JHCEDNE1 c:\windows\system32\IN4K42F1 c:\windows\system32\HQSYKN5G c:\windows\system32\GWVK8SSW c:\windows\system32\FPGELSBG c:\windows\system32\EJZ8XTT0 c:\windows\system32\CCJ3AUCK c:\windows\system32\CN7G4P43 c:\windows\system32\PFPK4BYQ c:\windows\system32\IQWZ7CBF c:\windows\system32\C286NDJW c:\windows\system32\BZ0MTVA6 Registry:: FileLook:: DirLook::
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
ComboFix по выполнении кода
Пуск - Выполнить - regedit
Зайдите в ветку
и удалите параметр StpSrvКод:[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Удаляемые файлы будут дектироваться как Backdoor.Win32.Nbdd.adj
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: c:\windows\system32\Whuyshlw.dll c:\windows\system32\Wruksnlw.dll c:\windows\system32\Wtuysrlw.dll c:\windows\system32\Wxuwshlw.dll Driver:: Folder:: Registry:: FileLook:: DirLook::
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Последний раз редактировалось thyrex; 14.07.2010 в 16:05.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Параметр StpSrv удалил. Backdoor.Win32.Nbdd.adj не видел.
Лог в порядке. Проблема решена?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
avptool обнаружил и удалил Backdoor.Win32.Nbdd.adj После этого проверил им ещё 2 раза с перезагрузкой - ничего зловредного не обнаружено.
Смените все пароли
Установите SP3 (может потребоваться активация) + все новые патчи
Установите Internet Explorer 8 (даже если им не пользуетесь)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
+ к thyrex Удалите ComboFix
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 8
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\whuyshlw.dll - Backdoor.Win32.Nbdd.adj ( BitDefender: Trojan.Generic.4277549, AVAST4: Win32:Dogrobot [Drp] )
Уважаемый(ая) Peters86, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.