• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена Вирусы снова одолели

Статус
В этой теме нельзя размещать новые ответы.

Elka

Активный пользователь
Сообщения
13
Симпатии
0
#1
Добрый день! Снова обращаюсь к вам за помощью, завелась, явно, какая-то дрянь. Не могу скачать файлы с Депозита, пишет, что с моего IP уже идет скачивание. А я ни сном, ни духом... Посмотрите, пожалуйста...
 

akok

Команда форума
Администратор
Сообщения
15,313
Симпатии
12,491
#2
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 SetServiceStart('f29a3d56', 4);
 QuarantineFile('C:\WINDOWS\web\related.htm','');
 QuarantineFile('C:\WINDOWS\System32\drivers\f29a3d56.sys','');
 QuarantineFile('C:\WINDOWS\System32\DRIVERS\iomdisk.sys','');
 QuarantineFile('c:\windows\system32\servises.exe','');
 DeleteFile('c:\windows\system32\servises.exe');
 DeleteFile('C:\WINDOWS\System32\drivers\f29a3d56.sys');
 DeleteService('f29a3d56');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 ExecuteRepair(9);
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив прикрепите к новой теме в этом разделе.

Пофиксить в HijackThis следующие строчки
Код:
 	O4 - S-1-5-18 Startup: is-GK74N.lnk = ? (User 'SYSTEM')
	O4 - .DEFAULT Startup: is-GK74N.lnk = ? (User 'Default user')
           O4 - Startup: is-GK74N.lnk = ?

Скачайте и распакуйте в отдельную папку - Registry Search (зеркало)

Запустите утилиту.
В верхнем окне, предназначенном для поиска введите fystemroot

и нажмите кнопку "OK".

В блокноте откроется текст, скопируйте его и вставьте в следующее сообщение.

Повторите логи.
 

akok

Команда форума
Администратор
Сообщения
15,313
Симпатии
12,491
#4
Elka, проведите пожалуйста поиск в реестре.

По инструкции
 

Elka

Активный пользователь
Сообщения
13
Симпатии
0
#5
провела поиск в реестре по инструкции
 

akok

Команда форума
Администратор
Сообщения
15,313
Симпатии
12,491
#6
Вот славно.
Сохраните реестр:
Скачайте ERUNT, установите и запустите, выберите папку для сохранения, в разделе Backup options должны быть отмечены галочками строчки "System registry" , "Current user registry" и "Other open user registries", нажмите "Ok" и подтвердите создание папки.

Теперь: пуск - выполнить - regedit и по указанным путям (пути смотрим в отчете утилиты) измените
Код:
%fystemroot%\system32\svchost.exe -k netsvcs
на

Код:
%[color=Red][b]s[/b][/color]ystemroot%\system32\svchost.exe -k netsvcs
После окончания действий перезагрузитесь.... это должно окончательно восстановить функциональность.

Добавлено через 3 минуты 1 секунду
P>S> После изменений еще раз проведите поиск при помощи Registry Search.
 

Elka

Активный пользователь
Сообщения
13
Симпатии
0
#7
Почему-то не получается изменить коды. Посмотрите вложение, может я что-то не то делаю
 

akok

Команда форума
Администратор
Сообщения
15,313
Симпатии
12,491
#8
Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

попробуем так.
 

Elka

Активный пользователь
Сообщения
13
Симпатии
0
#9
Выкладываю полученный лог. Результат еще тот...:mda:
 
Последнее редактирование:

ТроПа

Активный пользователь
Сообщения
391
Симпатии
334
#10
Ну так а почему не удалили предложенное? Среди всего этого один "кряк" и куча мусора после борьбы со зловредами.

Добавлено через 8 минут 58 секунд
На каждом найденном ключе реестра вида HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\BITS (в окне слева) нажмите правую кнопку мыши и выбирете пункт Разрешения..., посмотрите, есть ли там в списке администратор, если нет, то добавьте, после этого должно получиться изменить.
 

Elka

Активный пользователь
Сообщения
13
Симпатии
0
#11
Я все удалила сразу же, перезагрузила комп, опять провела тестирование, еще две фигни обнаружились. Удалила, после перезагрузки ВСЕ ЧИСТО!!!:good2: Спасибо огромное всем :thank_you2:
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу