Проверил комп утилитой CureIt, но до конца вылечить не получается. Помогите
Проверил комп утилитой CureIt, но до конца вылечить не получается. Помогите
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Выполните скрипт в АВЗ -Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('srservice.sys',''); QuarantineFile('C:\WINDOWS\system32\srservice.sys',''); QuarantineFile('C:\Documents and Settings\All Users\Application Data\SeekService\seekservice153.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys',''); QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\br4743on.exe',''); QuarantineFile('C:\WINDOWS\system32\cmd-brontok.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\atapidrv.sys',''); DeleteFile('C:\WINDOWS\system32\Drivers\atapidrv.sys'); DeleteFile('C:\WINDOWS\system32\cmd-brontok.exe'); DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\br4743on.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Tok-Cirrhatus-1860'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Tok-Cirrhatus-1860'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- выполните такой скрипт
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Прокси сами прописывали? -- Сделайте лог ГмерКод:R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
Карантин отправил, прокси не прописывал. Лог Gmer сделать не могу вываливается синий экран STOP: 0x00000019 (0x00000020, 0x89C6A000, 0x89C6A828, 0x1B050000)
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); DeleteFile('C:\Documents and Settings\All Users\Application Data\SeekService\seekservice153.exe'); DeleteService('SeekService Service'); BC_DeleteSvc('SeekService Service'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Файл C:\WINDOWS\system32\Drivers\NDIS.sys необходимо заменить чистым с дистрибутива.
- После всего вышеперечисленного постарайтесь снять лог Гмер
- Либо повторить логи
файл заменил, лог гмер удалось сделать только в безопасном режиме
- Сохраните текст ниже как 1.bat в ту же папку, где находится i0oykger.exe(GMER) и запустите этот батник(1.bat):
Компьютер перезагрузится.Код:i0oykger.exe -del service tlsnyn i0oykger.exe -del file "C:\WINDOWS\system32\npkcfld.dll" i0oykger.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\tlsnyn" i0oykger.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\tlsnyn" i0oykger.exe -reboot
После перезагрузки:
- Сделайте повторные логи АВЗ
- Сделайте новый лог Gmer
батник выполнил, логи прилаг
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); TerminateProcessByName('c:\program files\common files\microsoftsiihield\svchost.exe'); QuarantineFile('c:\program files\common files\microsoftsiihield\svchost.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\TeViiS420.sys',''); QuarantineFile('C:\Documents and Settings\Администратор\Шаблоны\17568-NendangBro.com',''); DeleteFile('C:\Documents and Settings\Администратор\Шаблоны\17568-NendangBro.com'); DeleteFile('cmd-brontok.exe'); DeleteFile('c:\program files\common files\microsoftsiihield\svchost.exe'); DeleteFile('c:\windows\Tasks\At1.job'); DeleteFile('c:\windows\Tasks\At2.job'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- выполните такой скрипт
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Выполнил, но комп в процессе лечения окончательно сдох. :-( Синий экран через раз. Пришлось переустановить систему. Огромное спасибо за помощь. Тему можно закрывать
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 18
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\all users\\application data\\seekservice\\seekservice153.exe - not-a-virus:AdWare.Win32.Zwangi.bhh ( DrWEB: Adware.Searchlook.6 )
- c:\\windows\\system32\\drivers\\atapidrv.sys - Rootkit.Win32.Agent.blit ( DrWEB: Trojan.NtRootKit.6671, BitDefender: Trojan.Fakealert.20172, AVAST4: Win32:FakeAV-ANE [Rtk] )
- c:\\windows\\system32\\drivers\\ndis.sys - Virus.Win32.Protector.f ( DrWEB: BackDoor.Bulknet.417, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.K virus, AVAST4: Win32:Cutwail-AP [Rtk] )
Уважаемый(ая) Stopfire, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.