Перейти к содержанию
Правила раздела

Kryptik.BF

ival

От ival
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Falcon Ветеран

Falcon

Опубликовано
Опубликовано (изменено)

Выполните в AVZ следующий скрипт:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearHostsFile;
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\netsrv.exe','');
QuarantineFile('%USERPROFILE%\Application Data\bpfeed.dll','');
QuarantineFile('C:\WINDOWS\rwhuithg.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\ethjzumv.sys','');
DeleteService('ethjzumv');
QuarantineFile('C:\WINDOWS\system32\crypts.dll','');
QuarantineFile('c:\windows\msauc.exe','');
TerminateProcessByName('c:\windows\msauc.exe');
QuarantineFile('c:\windows\temp\5561.tmp','');
TerminateProcessByName('c:\windows\temp\5561.tmp');
DeleteFile('c:\windows\temp\5561.tmp');
DeleteFile('c:\windows\msauc.exe');
DeleteFile('C:\WINDOWS\system32\crypts.dll');
BC_DeleteFile('C:\WINDOWS\system32\crypts.dll');
DeleteFile('C:\WINDOWS\system32\drivers\ethjzumv.sys');
DeleteFile('digeste.dll');
BC_DeleteFile('digeste.dll');
DeleteFile('C:\WINDOWS\rwhuithg.exe');
DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
DeleteFile('%USERPROFILE%\Application Data\bpfeed.dll');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\netsrv.exe');
BC_DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\netsrv.exe');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Обновите базы AVZ и повторите логи.

 

Как выполнить скрипт в AVZ.

Изменено пользователем Falcon
Ссылка на комментарий
Поделиться на другие сайты
Falcon Ветеран

Falcon

Опубликовано
Опубликовано (изменено)

Выполнить в AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteService('ethjzumv');
DeleteFile('C:\WINDOWS\system32\drivers\ethjzumv.sys');
DeleteFile('C:\WINDOWS\msauc.exe');
DeleteFile('C:\WINDOWS\rwhuithg.exe');
DeleteFile('crypts.dll');
DeleteFile('digeste.dll');
BC_ImportDeletedList;
BC_DeleteSvc('ethjzumv');
BC_DeleteFile('C:\WINDOWS\msauc.exe');
BC_DeleteFile('C:\WINDOWS\system32\drivers\ethjzumv.sys');
BC_Activate;
RebootWindows(true);
end.

Пофиксить:

O2 - BHO: BP Data Feeder - {9D64F819-9380-8473-DAB2-702FCB3D7A3E} - %USERPROFILE%\Application Data\bpfeed.dll (file missing)
O2 - BHO: MyCentria Internet Mate v2.0 - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL (file missing)
O4 - HKLM\..\Run: [lsass driver] C:\WINDOWS\msauc.exe
O4 - HKCU\..\Run: [rwhuithg.exe] C:\WINDOWS\rwhuithg.exe
O4 - HKUS\S-1-5-21-1606980848-1993962763-725345543-1004\..\Run: [rwhuithg.exe] C:\WINDOWS\rwhuithg.exe (User '?')
O20 - Winlogon Notify: crypt - crypts.dll (file missing)

Повторите логи.

Изменено пользователем Falcon
Ссылка на комментарий
Поделиться на другие сайты
Falcon Ветеран

Falcon

Опубликовано
Опубликовано (изменено)

В AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('digeste.dll');
BC_ImportDeletedList;
BC_DeleteFile('digeste.dll');
BC_Activate;
RebootWindows(true);
end.

 

Повторите логи ( их должно быть 3) :)

Изменено пользователем Falcon
Ссылка на комментарий
Поделиться на другие сайты
Falcon Ветеран

Falcon

Опубликовано
Опубликовано (изменено)

Хм, digeste удалось выжить.

 

Скачайте IceSword.

- Запустите программу.

- Внизу слева выберите меню File.

- Появится аналог проводника. Найдите в нем файл:

C:\WINDOWS\System32\digeste.dll

- Нажмите на него правой кнопкой мыши и выберите force delete.

- На запрос потверждения ответьте "да".

 

Выполните в AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\System32\digeste.dll');
BC_ImportDeletedList;
BC_DeleteFile('C:\WINDOWS\System32\digeste.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки сделайте логи AVZ заново.

Изменено пользователем Falcon
Ссылка на комментарий
Поделиться на другие сайты
ival Новичок

ival

Опубликовано
  • Автор
Опубликовано (изменено)

Сделано

 

digeste.dll нашёлся, но он не там где Вы отписали, удалять его??

 

Спасибо большое

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено пользователем ival
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем
×
×
  • Создать...