Решена Вирусы снова одолели

Статус
В этой теме нельзя размещать новые ответы.

Elka

Новый пользователь
Сообщения
13
Реакции
0
Добрый день! Снова обращаюсь к вам за помощью, завелась, явно, какая-то дрянь. Не могу скачать файлы с Депозита, пишет, что с моего IP уже идет скачивание. А я ни сном, ни духом... Посмотрите, пожалуйста...
 
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 SetServiceStart('f29a3d56', 4);
 QuarantineFile('C:\WINDOWS\web\related.htm','');
 QuarantineFile('C:\WINDOWS\System32\drivers\f29a3d56.sys','');
 QuarantineFile('C:\WINDOWS\System32\DRIVERS\iomdisk.sys','');
 QuarantineFile('c:\windows\system32\servises.exe','');
 DeleteFile('c:\windows\system32\servises.exe');
 DeleteFile('C:\WINDOWS\System32\drivers\f29a3d56.sys');
 DeleteService('f29a3d56');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 ExecuteRepair(9);
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


Полученный архив прикрепите к новой теме в этом разделе.

Пофиксить в HijackThis следующие строчки
Код:
 	O4 - S-1-5-18 Startup: is-GK74N.lnk = ? (User 'SYSTEM')
	O4 - .DEFAULT Startup: is-GK74N.lnk = ? (User 'Default user')
           O4 - Startup: is-GK74N.lnk = ?


Скачайте и распакуйте в отдельную папку - Registry Search (зеркало)

Запустите утилиту.
В верхнем окне, предназначенном для поиска введите fystemroot
Registry Search.jpg

и нажмите кнопку "OK".

В блокноте откроется текст, скопируйте его и вставьте в следующее сообщение.

Повторите логи.
 
Elka, проведите пожалуйста поиск в реестре.

По инструкции
 
провела поиск в реестре по инструкции
 
Вот славно.
Сохраните реестр:
Скачайте ERUNT, установите и запустите, выберите папку для сохранения, в разделе Backup options должны быть отмечены галочками строчки "System registry" , "Current user registry" и "Other open user registries", нажмите "Ok" и подтвердите создание папки.

Теперь: пуск - выполнить - regedit и по указанным путям (пути смотрим в отчете утилиты) измените
Код:
%fystemroot%\system32\svchost.exe -k netsvcs

на

Код:
%[color=Red][b]s[/b][/color]ystemroot%\system32\svchost.exe -k netsvcs

После окончания действий перезагрузитесь.... это должно окончательно восстановить функциональность.

Добавлено через 3 минуты 1 секунду
P>S> После изменений еще раз проведите поиск при помощи Registry Search.
 
Почему-то не получается изменить коды. Посмотрите вложение, может я что-то не то делаю
 
Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

попробуем так.
 
Выкладываю полученный лог. Результат еще тот...:mda:
 
Последнее редактирование:
Ну так а почему не удалили предложенное? Среди всего этого один "кряк" и куча мусора после борьбы со зловредами.

Добавлено через 8 минут 58 секунд
На каждом найденном ключе реестра вида HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\BITS (в окне слева) нажмите правую кнопку мыши и выбирете пункт Разрешения..., посмотрите, есть ли там в списке администратор, если нет, то добавьте, после этого должно получиться изменить.
 
Я все удалила сразу же, перезагрузила комп, опять провела тестирование, еще две фигни обнаружились. Удалила, после перезагрузки ВСЕ ЧИСТО!!!:good2: Спасибо огромное всем :thank_you2:
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу