-
Junior Member
- Вес репутации
- 50
Заблокированы сайты антивирусов
Здравствуйте.
Я поймал какой-то вирус. Вчера утром обнаружил что не доступны сайты многих антивирусов и не работают сами антивирусы. Сайты не были доступны потому что прописывались лишние статические маршруты. Из антивирусных сканеров удалось запустить только CureIt. Он удалил 2 файла из папки System32. Теперь антивирусы работают, но статические маршруты продолжают прописываться при перезагрузке и сайты антивирусов опять блокируются. Помогите разобраться. Логи прилагаются.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteService('Netprotocol');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
DeleteService('abp470n5');
QuarantineFile('C:\WINDOWS\system32\drivers\kofhkj.sys','');
QuarantineFile('c:\windows\system32\fa6fe780.exe','');
QuarantineFile('c:\windows\system32\orekbdh.exe','');
QuarantineFile('c:\windows\system32\zwjrnwm.exe','');
QuarantineFile('C:\Program Files\opera\setupapi.dll','');
DeleteFile('C:\Program Files\opera\setupapi.dll');
DeleteFile('c:\windows\system32\zwjrnwm.exe');
DeleteFile('c:\windows\system32\orekbdh.exe');
DeleteFile('c:\windows\system32\fa6fe780.exe');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
DeleteFile('C:\WINDOWS\system32\drivers\kofhkj.sys');
BC_DeleteSvc('abp470n5');
DeleteFile('C:\Documents and Settings\_\Application Data\netprotocol.exe');
BC_DeleteFile('C:\Documents and Settings\_\Application Data\netprotocol.exe');
BC_DeleteSvc('Netprotocol');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteRepair(1);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Повторите логи
-
-
Junior Member
- Вес репутации
- 50
-
Junior Member
- Вес репутации
- 50
Сейчас лишние маршруты больше не добавляются. Но мне не нравится огромное количество пунктов в автозагрузке. Это драйвера или вредоносные программы?
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
-
Смените все пароли
C:\WINDOWS\System32\sfcfiles.dll восстановите с дистрибутива http://virusinfo.info/showthread.php?t=51654
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
C:\WINDOWS\system32\'dnЂ
C:\WINDOWS\system32\дЧ5Љєгj‰2—j‰њK&ґр]6‰
Driver::
Folder::
C:\Program Files\Common Files\4F910EE8a
Registry::
FileLook::
C:\WINDOWS\system32\plwp.jro
C:\WINDOWS\system32\mmhx.qvo
C:\WINDOWS\QTFont.for
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
-
Это обрывок, а не лог. Переделать
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Извините что долго не мог ответить. Сделал новый отчёт ComboFix.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Другой не получается. Или выскакивает синий экран или получается такой лог.
-
Попробуйте в безопасном режиме
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 14
- В ходе лечения обнаружены вредоносные программы:
- c:\\program files\\opera\\setupapi.dll - Trojan.Win32.Zapchast.cwv ( DrWEB: Trojan.WinSpy.935, BitDefender: Trojan.Generic.4897547, AVAST4: Win32:Patched-TI [Trj] )
-