Перейти к содержанию
Правила раздела

Опять ПО FILE DOWNLOADER

h.s.thompson

От h.s.thompson
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

h.s.thompson Новичок

h.s.thompson

Опубликовано
Опубликовано

Подцепил данный вирус. После проверки AVZ окошко на полэкрана исчезло, но интернет не работает.

Помогите, пожалуйста.

virusinfo_syscheck.zip

hijackthis.log

gmer.log

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты
snifer67 Ветеран

snifer67

Опубликовано
Опубликовано

1. Скачайте утилиту во вложении и запустите. Компьютер перезагрузится

 

2. Если в папке с утилитой появился файл drv.sys, запакуйте его и прикрепите к своему сообщению

 

4. Сделайте новые логи

get3.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Перед созданием повторных логов после выполнения п. 1, 2 по совету snifer67 сделайте

 

1. Пофиксите в HiJack

F2 - REG:system.ini: UserInit=\\.\globalroot\systemroot\system32\userinit.exe,

 

2. Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
QuarantineFile('H:\ZUEROB.exE','');
QuarantineFile('H:\zueRob.ExE','');
QuarantineFile('H:\autorun.inf','');
TerminateProcessByName('c:\windows\system32\csrcs.exe');
QuarantineFile('c:\windows\system32\csrcs.exe','');
DeleteFile('c:\windows\system32\csrcs.exe');
RegKeyParam-Del('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','csrcs');
RegKeyParam-Del('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs');
DeleteFile('H:\autorun.inf');
DeleteFile('H:\zueRob.ExE');
DeleteFile('H:\ZUEROB.exE');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(16);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

3. Выполните скрипт в AVZ

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

4. Сделайте новые логи

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
h.s.thompson Новичок

h.s.thompson

Опубликовано
  • Автор
Опубликовано (изменено)

get запустил, drv.sys в приложении.

 

Скрипт в AVZ не запускается, пишет "Ошибка ';' expected в позиции 11:12"

 

Не пойму, вроде все ';' проставлены...

drv.zip

Изменено пользователем h.s.thompson
Ссылка на комментарий
Поделиться на другие сайты
akoK Ветеран

akoK

Опубликовано
Опубликовано
Скрипт в AVZ не запускается, пишет "Ошибка ';' expected в позиции 11:12"

 

Поправил опечатку

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('H:\ZUEROB.exE','');
QuarantineFile('H:\zueRob.ExE','');
QuarantineFile('H:\autorun.inf','');
TerminateProcessByName('c:\windows\system32\csrcs.exe');
QuarantineFile('c:\windows\system32\csrcs.exe','');
DeleteFile('c:\windows\system32\csrcs.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','csrcs');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs');
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
DeleteFile('H:\autorun.inf');
DeleteFile('H:\zueRob.ExE');
DeleteFile('H:\ZUEROB.exE');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(16);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

Найдите файл fdc.sys и замените его на чистый из дистрибутива.

 

Вот например:

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
h.s.thompson Новичок

h.s.thompson

Опубликовано
  • Автор
Опубликовано (изменено)

Сообщение от модератора thyrex
virusinfo_cure - это карантин, который нам не нужен.

 

Сделал логи, вирус по почте отправил

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Изменено пользователем thyrex
Ссылка на комментарий
Поделиться на другие сайты
akoK Ветеран

akoK

Опубликовано
Опубликовано (изменено)

В карантине

c:\windows\system32\csrcs.exe - Worm.Win32.AutoIt.tc

G:\zueRob.ExE - Worm.Win32.AutoIt.tc

 

Пофиксить в HijackThis следующие строчки 

F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
O4 - HKLM\..\RunServices: [csrcs] C:\WINDOWS\system32\csrcs.exe
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('c:\windows\system32\csrcs.exe');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
DeleteFile('G:\autorun.inf');
DeleteFile('G:\zueRob.ExE');
DeleteFile('G:\ZUEROB.exE');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SetAVZPMStatus(true);
RebootWindows(false);
end.

После выполнения скрипта компьютер перезагрузится.

 

Повторите логи AVZ +

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

 

h.s.thompson, эти логи до или после выполнения скрипта thyrex?

Изменено пользователем akoK
Ссылка на комментарий
Поделиться на другие сайты
snifer67 Ветеран

snifer67

Опубликовано
Опубликовано

Выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\csrcs.exe');
DeleteFile('c:\windows\system32\csrcs.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','csrcs');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs');
DeleteFile('G:\autorun.inf');
DeleteFile('G:\zueRob.ExE');
DeleteFile('G:\ZUEROB.exE');
BC_DeleteFile('c:\windows\system32\csrcs.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
ExecuteRepair(19);
RebootWindows(true);
end.

ПК перезагрузится.

 

Сделайте новые логи.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Плохого не увидел.

 

Установите SP3 (может потребоваться активация) + все новые заплатки

Установите Internet Explorer 8

Обновите JavaRE

Ссылка на комментарий
Поделиться на другие сайты
h.s.thompson Новичок

h.s.thompson

Опубликовано
  • Автор
Опубликовано

Кирдык полный.

Ничего из вышеперечисленного не помогло, а, кроме всего, не помогла и переустановка винды.

 

В только что загруженной новой версии винды "подключение по локальной сети ограничено или отсутствует".

Автоматически определяется какой-то левый айпи типа 169.254.156.77

Установка айпи вручную тоже не помогает.

 

Где засел вирус?

Он мог заразить роутер?

Что делать?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • ГГеоргий
      BSOD после установки File: \Windows\System32\DRIVERS\Klelam.sys
      От ГГеоргий
      В процессе локальной установки  КЕС на устройство, оно выключилось и включилось уже с синим экраном
      error code 0xc00000f 
       "The operating system couldnt be loaded because a critical driver  missing or contains error" File: \Windows\System32\DRIVERS\Klelam.sys.
      в Safemode зайти не удается - всё равно выкидывает ошибку
      точки восстановления нет
      что делать? 
      мы ставили на два идентичных устройства до этого - всё прошло успешно
       
    • Vlad Problema
      Пишет что Trojan:Win32/Wacatac.B!ml на диске Е (file E:\setup.exe), но у меня такого диска нету
      От Vlad Problema
      Скачивал игру с проверенного сайта и после скачки мне пишет что у меяе троян, я все удалил, но пишет что вирус на диске Е которого у меня нету, его не в карантин не удалить нельзя через виндовс дефендер, чекал все скрытые файлы нечего нету
    • Андрей121
      Шифровальщик Trojan.Encoder.32210 (Lockbit 3) file.4HNnrRWXy
      От Андрей121
      Добрый вечер! Обнаружили что 21.06.2023 тихо взломали 2 наших сервера с помощью вируса шифровальщика вроде бы Trojan.Encoder.31074 (Lockbit 3). Обнаружил после того как пользователи начали жаловаться на то что документы не открываются. На сам рабочий стол доступ имелся и было обнаружено что лицензионного антивирусного программного обеспечения kaspersky endpoint security нигде нет. Решил написать пост в данной теме на форуме ( в dr web сразу отказались помочь т.к сказали что это невозможно, только сказали имя шифровальщика). Переписку с вымогателями не вел. Систему не лечил и не чистил. Очень нужна помощь по восстановлению данных.
×
×
  • Создать...