Подцепил на одном сайте данный файл. Он забился в автозапуск. Я его оттуда удалил, но система всёравно была успешно инфицирована.
hijackthis
syscheck
syscure
Подцепил на одном сайте данный файл. Он забился в автозапуск. Я его оттуда удалил, но система всёравно была успешно инфицирована.
hijackthis
syscheck
syscure
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\c1c87a90.exe,C:\WINDOWS\system32\wrhcls.exe,
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\wrhcls.exe',''); QuarantineFile('C:\WINDOWS\system32\c1c87a90.exe',''); DeleteFile('C:\WINDOWS\system32\c1c87a90.exe'); DeleteFile('C:\WINDOWS\system32\wrhcls.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=83118).
Скачайте новую версию AVZ 4.34, обновите ее базы и сделайте новые логи.
I am not young enough to know everything...
А также
Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Новые логи с версии 4.34
hijackthis
syscheck
syscure
лог RSIT еще сделайте
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('C:\WINDOWS\system32\sol.exe',''); QuarantineFile('C:\WINDOWS\system32\ndpbtxd.exe',''); QuarantineFile('C:\WINDOWS\system32\axvobnz.exe',''); QuarantineFile('C:\WINDOWS\system32\tqulzvy.exe',''); QuarantineFile('C:\WINDOWS\system32\mkjkznx.exe',''); DeleteFile('C:\WINDOWS\system32\ndpbtxd.exe'); DeleteFile('C:\WINDOWS\system32\axvobnz.exe'); DeleteFile('C:\WINDOWS\system32\tqulzvy.exe'); DeleteFile('C:\WINDOWS\system32\mkjkznx.exe'); QuarantineFile('C:\WINDOWS\system32\xytnxwm.exe',''); QuarantineFile('C:\WINDOWS\system32\vhbivhx.exe',''); DeleteFile('C:\WINDOWS\system32\vhbivhx.exe'); DeleteFile('C:\WINDOWS\system32\xytnxwm.exe'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(20); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Сделайте повторные логи RSIT тут.
В логах подозрительного нет. Что с проблемой?
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
- Проведите процедуру, которая описана в первом сообщении тут.
Проблема решена, система чиста. Спасибо за помощь.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 22
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\axvobnz.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.hq0@aqZauEdi, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\mkjkznx.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.hq0@aqZauEdi, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\ndpbtxd.exe - Backdoor.Win32.Shiz.ky ( DrWEB: Trojan.PWS.Ibank.55, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:Spyware-gen [Spy] )
- c:\windows\system32\tqulzvy.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.hq0@aqZauEdi, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\vhbivhx.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.hq0@aqZauEdi, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\xytnxwm.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.hq0@aqZauEdi, AVAST4: Win32:MalOb-BW [Cryp] )
Уважаемый(ая) Shouldercannon, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.