-
Junior Member
- Вес репутации
- 50
Помогите... AvpTool определяет как rootkit.win32.agent.bier и не лечит и не удаляет.
Здравствуйте!
Поймали вирус, Пробовали проверять Dr.Web cureIt и AvpTool. Вирус находит, но не может его удалить.
Заметил одну особенность, в безопасном режиме, во время работы и проверки, процесс svchost.exe постоянно рос, при этом в начале проверки он мог занимать 8мб, а к концу более 2,5гб.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 50
прошу прощения, забыл указать что был еще какой-то вирус, если не ошибаюсь троян, который тоже не смог удалить AvpTool. Dr.Web, вроде все почистил и ни на что не ругался....
-
1. Скачайте "OSAM" (Online Solutions Autorun Manager). В меню драйверов правой кнопкой по cirjewu и выберите "Turn Run Off", потом подтвердите перезагрузку.
html-лог работы утилиты заархивируйте и прикрепите к своему сообщению
2.Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\syssec32.exe','');
QuarantineFile('C:\WINDOWS\system32\ejqikf.exe','');
QuarantineFile('C:\WINDOWS\system32\bbf2ec30.exe','');
DeleteFile('C:\WINDOWS\system32\bbf2ec30.exe');
DeleteFile('C:\WINDOWS\system32\ejqikf.exe');
DeleteFile('C:\WINDOWS\system32\syssec32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Secure Star');
DeleteFile('C:\System Volume Information\_restore{70278076-46BF-415B-BFFF-CDD6B2762447}\RP1\A0005069.dll');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('TSW',2 ,2 ,true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенный карантин" над первым сообщением темы)
3. Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
А так же сделайте новые логи AVZ и hijackthis
-
-
Junior Member
- Вес репутации
- 50
Все сделал, по ощущениям компьютер стал работать быстрее.
-
Junior Member
- Вес репутации
- 50
Забыл заархивировать, извините...
-
Junior Member
- Вес репутации
- 50
Проверил AvpToll, Все почистилось)))) Огромное Спасибо!!!!
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFileF('c:\windows\system32', '*.exe,*.bat', false,'', 0, 0, '16.07.2010', '22.07.2010');
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
QuarantineFile('C:\WINDOWS\system32\mssfc.dll','');
DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys');
DeleteFile('C:\WINDOWS\system32\mssfc.dll');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- сделайте лог Combofix
-
-
Junior Member
- Вес репутации
- 50
Лога ComboFix, на диске С не оказалось....
-
Сообщение от
AlexMakeewUs
Лога ComboFix, на диске С не оказалось....
Попробуйте запустить утилиту еще раз
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
-
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
C:\WINDOWS\system32\pyrxdwz.exe
C:\WINDOWS\system32\cqdeghu.exe
C:\WINDOWS\system32\jwislem.exe
C:\WINDOWS\system32\mredugc.exe
C:\WINDOWS\system32\dbfd1494.exe
C:\WINDOWS\system32\mcbuqfs.exe
C:\WINDOWS\system32\mjbwww.exe
C:\WINDOWS\system32\garuaob.exe
C:\WINDOWS\system32\310a425e.exe
C:\WINDOWS\system32\tkwuink.exe
C:\WINDOWS\system32\aelysta.exe
C:\WINDOWS\system32\jyaiye.exe
C:\WINDOWS\system32\gfedyvh.exe
C:\WINDOWS\system32\tlowhyw.exe
C:\WINDOWS\system32\meiilbs.exe
C:\WINDOWS\system32\pbrkjad.exe
C:\WINDOWS\system32\sbmnqvz.exe
C:\WINDOWS\system32\sjhbrbt.exe
C:\WINDOWS\system32\d88c5ce8.exe
C:\WINDOWS\system32\bqgygbx.exe
C:\WINDOWS\system32\ytmqqtc.exe
C:\WINDOWS\system32\saoncww.exe
C:\WINDOWS\system32\nbieokq.exe
C:\WINDOWS\system32\dstvbcw.exe
C:\WINDOWS\system32\xcxlgjm.exe
C:\WINDOWS\system32\tmnkfrr.exe
C:\WINDOWS\system32\aanklaw.exe
C:\WINDOWS\system32\qoaewgh.exe
C:\WINDOWS\system32\ommmcrr.exe
C:\WINDOWS\system32\jmhienp.exe
Driver::
Folder::
C:\found.000
Registry::
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 15
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\ghvpzyh.exe - Backdoor.Win32.Shiz.gen ( NOD32: Win32/Spy.Shiz.NBG trojan, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\lovwgaw.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.PWS.Ibank.53, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:Malware-gen )
- c:\windows\system32\uhmufhm.exe - Backdoor.Win32.Shiz.gen ( AVAST4: Win32:Rootkit-gen [Rtk] )
-