Перейти к содержанию

Как избавиться от последствий Sality.aa, Alman.b и rootkit.Agent.a?


Рекомендуемые сообщения

Добрый день.

Помогите пожалуйста решить следующую задачу:

После излечения данной пакости :Sality.aa, Alman.b и rootkit.Agent.a

 

не запускается regedit , диспетчер задач и gpedit.msc где можно включить реестр с диспетчером, руткит похоже поел все.

gpedit.msc не запускается со словами - "не найден файл msimg32.dl , не dll а именно dl

 

как сделать так, что бы редактор политик запускался , и может быть хотя бы реестр с таксменеджером что б работал ?

какой нибудь скрипт в avz или что нить еще ?

 

GetSystemInfo в прилагаемом файле.

GetSystemInfo_MICROSOF_2C954E_Максим_2009_08_04_14_04_21.txt

Ссылка на комментарий
Поделиться на другие сайты

Был подобный вопрос -Найти и Уничтожить Win32.Sector.17

Подробно рассказано, все нужные утилиты можно скачать и более ста комментариев о решении проблемы.

Ссылка на комментарий
Поделиться на другие сайты

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('18B0E5C0-4FCB-11CF-AAX5-004016608512');
QuarantineFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1113\iuhi32.exe','');
DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1113\iuhi32.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteRepair(17);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам.

 

2.Пофиксить в HijackThis следующие строчки

	O3 - Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - (no file)

 

Повторите логи.

 

 

Был подобный вопрос -Найти и Уничтожить Win32.Sector.17

Подробно рассказано, все нужные утилиты можно скачать и более ста комментариев о решении проблемы.

А это тут при чём?

Насколько видно, салити прибит, остался ещё один недобиток.

Ссылка на комментарий
Поделиться на другие сайты

вот новые логи после выполнения скриптов.

реестр и диспетчер задач уже запускаются, спасибо вам огромное !

 

судя по логу avz там еще есть недобиток,

делаю полную проверку KAV

 

quarantine.zip отправлен, жду ответа )

 

полная проверка ничего не нашла,

наверное все уже ок )

спасибо , antispy, вы очень помогли !

когда придет ответ newvirus@kaspersky.com - выложу

 

с newvirus@kaspersky.com ответили, что в приложенном файле Вредоносный код не обнаружен

 

все отлично )

спасибо !

;)

 

Сообщение от модератора C. Tantin
Не выкладывайте, пожалуйста, карантин (файл virusinfo_cure.zip)

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('abp470n5', 4);
QuarantineFile('C:\WINDOWS\system32\drivers\kienlf.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\kienlf.sys');
DeleteService('abp470n5');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Namido
      Автор Namido
      Уже два года как меня терроризирует непонятный майнер, никакие средства очистки не находят абсолютно ничего. Признаки: периодически как будто бы удаленный доступ к ноуту, открываются вкладки, курсор живет своей жизнью, нагружается процессор, иногда при заходе на любой сайт вылезает окно всплывающее "пароль" и "логин" с сылкой на сайт с казино(zagent?что-то такое). Сегодня совершенно случайно чистила ноут и увидела в логе строку"проверка пользователя John", загуглила, увидела, что проблема не новая.

      CollectionLog-2025.04.20-20.12.zip
    • shimcot
      Автор shimcot
      С какого момента заметил заметное снижение частоты кадров. Вирус маскировался в процессах под Microsoft Network Realtime lnspection Service, но с припиской .exe. Оказалось майнер. Удалил, но, как оказалось, при каждом запуске ПК, если включен интернет и антивирус не ловит (сейчас если выключен) его, то все восстанавливается. Использовал Dr Web Cureit, он обозначил загрузчик как Trojan.Siggen31.29298. Помимо лечения самого вируса в C:\ProgramData\CAAService также чистил реестр, чтобы удалить из автозагрузки. Примечательно также то, что в какой-то момент папка CAAService и процесс Powershell.exe добавляются в исключения Windows Defender. Но, как упоминал ранее, вирус самовосстанавливается при наличии включенного интернета. Прилагаю отчет AutoLogger. Также покопавшись в похожих проблемах видел, что просят сделать отчет в uVS. На всякий случай прикреплю и его. Спасибо.
      CollectionLog-2025.06.17-14.54.zip DESKTOP-CSCVQP5_2025-06-17_14-32-53_v5.0.RC2.v x64.7z
    • Morelax
      Автор Morelax
      Добрый день! Заметил в автозагрузках странный процесс CAAServices.exe. Но при удалении он снова восстанавливается. Отключил из автозагрузки, вроде не включается теперь, но всё равно не даёт покоя и хочется избавиться. Подскажите, пожалуйста, как это сделать? Я не особо шарю в этих делах. Смотрел похожие темы, но не особо понял инструкции по устранению вируса. Заранее спасибо. 

      ps/ он автоматически добавляет в исключения в дефендер (последний скрин)



    • Dad Paul
      Автор Dad Paul
      Вопреки всем предупреждениям и блокировкам, решил скачать читы на PUBG. В итоге-читы так и не получилось поставить,а вирусы получил. Видимых изменений в системе не наблюдаю, но каждые 5-15 минут находит вирусы трояна(разные),лечит\удаляет и всё по новой. Помогите избавиться


      avz_log.txt Addition.txt FRST.txt
    • ggwlzxz
      Автор ggwlzxz
      И так недавно подхватил оказывается сложный криптомайнер «taskhostw». На свой компьютер,  честно не знаю как избавиться от него. Качал аваст и дрвеб ничего не нашла ни одна прога. Могу пойти в дс. 
      И да вирус показался мне 1 раз когда только загружал диспетчер задач.

×
×
  • Создать...