Junior Member
Вес репутации
51
И снова monoca32
Добрый день!
Вообщем траблы как и у остальных 50% загрузки, monoca32 в автозагрузке, не запускался эксплорер, не заходит на сайты и тд
Полечился AVPTools вроде стало полегче, но всё равно при загрузке в route прописывается куча всякой лабуды, службы произвольно включаются и выключаются. Иногда может подключиться к локалке а иногда нет и с попаданием на сайты тоже попеременно происходит.
Заранее спасибо за помощь!
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\e6MmGtI.exe,\\?\globalroot\systemroot\system32\s74Ayeg.exe,\\?\globalroot\systemroot\system32\V1kgPLo.exe,
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\Filimon\Local Settings\Temp\~DFE2F7.tmp','');
QuarantineFile('C:\Documents and Settings\Filimon\Local Settings\Temp\~DFD60B.tmp','');
QuarantineFile(' C:\Documents and Settings\Filimon\Local Settings\Temp\~DF5C9.tmp','');
QuarantineFile('C:\Documents and Settings\Filimon\Local Settings\Temp\~DF56A.tmp','');
QuarantineFile('\\?\globalroot\systemroot\system32\s74Ayeg.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\e6MmGtI.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\V1kgPLo.exe','');
DeleteFile('\\?\globalroot\systemroot\system32\V1kgPLo.exe');
DeleteFile('\\?\globalroot\systemroot\system32\e6MmGtI.exe');
DeleteFile('\\?\globalroot\systemroot\system32\s74Ayeg.exe');
DelAutorunByFileName('\\?\globalroot\systemroot\system32\s74Ayeg.exe');
DelAutorunByFileName('\\?\globalroot\systemroot\system32\e6MmGtI.exe');
DelAutorunByFileName('\\?\globalroot\systemroot\system32\V1kgPLo.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Повторите логи.
Junior Member
Вес репутации
51
Карантин послал, логи сделал
Вложения
Junior Member
Вес репутации
51
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\cybqxsev.dll','');
BC_ImportAll;
ExecuteWizard('SCU',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip');
end.
Пришлите файл quarantine2.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
Junior Member
Вес репутации
51
Карантин выслал, теперь не получается сделать лог из пункта 1
AVZ виснит на каком либо файле или папке
Junior Member
Вес репутации
51
Сделайте логи Гмер и MBAM Посмотрим получше.
Junior Member
Вес репутации
51
Удалите в MBAM -
Код:
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
Зараженные файлы:
C:\Documents and Settings\Filimon\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
- Больше плохого не видно, что с проблемой?
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\cybqxsev.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\byvqzlogj\Parameters','ServiceDll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
BC_DeleteSvc('byvqzlogj');
RebootWindows(true);
end.
Компьютер перезагрузится.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
51
Вроде всё хорошо, спасибо за помощь!!!
Если что ещё всплывёт обращусь
Установите Acrobat Reader 9.3 или удалите старый
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 16 В ходе лечения вредоносные программы в карантинах не обнаружены