[iskander-k]

• Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение.

Код:

KillAll::

File::
c:\program files\Common Files\jqyrg4inedzz13m
C:\~dummy.tmp
c:\windows\system32\eiivff.exe

Driver::

Folder::
c:\program files\Common Files\28ab0b72
c:\program files\Common Files\28ab0879

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,"
FileLook::

DirLook::

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.


Когда сохранится новый отчёт ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Вы сами устанавливали программу Radmin Server ? - программа для удаленного управления вашим компьютером.

[kennyrus]

Цитата iskander-k:

Вы сами устанавливали программу Radmin Server ? »

Да, было дело)

Итак, выполнил скрипт, комп ребутнулся, комбофикс сгенерил лог. Выкладываю его


О_о
Есть прогресс - хоть Avz открылся 8-)
Сейчас просканю всю систему им, потом может еще Hijackthis-ом для точности. Логи нужно будет выкладывать? Или уже все, вирус повержен?

Кстати, заглянул из любопытства в реестр в [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] есть странный ключ - usrint со значением "C:\WINDOWS\system32\guqhko.exe". Меня этот файлик настрожил еще на этапе визуального просмотра system32. Правда о нем нет никакого упоминания в отчетах combofix-a

[iskander-k]

Цитата kennyrus:

Логи нужно будет выкладывать? »

Да.

• Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение.

Код:

KillAll::

File::
C:\WINDOWS\system32\guqhko.exe
Driver::

Folder::
c:\program files\Common Files\28ab0890

Registry::
RegLockDel::
FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.



Когда сохранится новый отчёт ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

[kennyrus]

Итак, что я сделал с момента моего последнего поста:

1) Сразу после волшебного открытия факта возможности запуска avz, я не долго думая просканил им всю систему. Он ничего не нашел. Логи прилагается (virusinfo_syscure.zip и virusinfo_syscheck.zip)

2) Выполнил скрипт выложенный Вами скрипт. Лог combofix-a прилагается.

3) Перезагрузил систему и прогнал все через HijackThis. Лог прилагается.

4) Также еще прогнал все RSIT-ом. Лог также прилагается.

В принципе, первоначальные симптомы пропали, Persistent routes радуют глаз своей чистотой, все ресурсы открываются, все антивирусные программы работают.

Ах, да, у меня тут родилась интересная мысль (но на всяк случай скрою ее под катом):

читать дальше »

Очень было бы неплохо разместить на данном ресурсе статьи на тему самостоятельного написания скриптов по удалению файлов и в целом лечению вирусов. Чтобы постоянно не теребить людей на форуме, чтобы продвинутый пользователь (у которого есть голова на плечах и прямые руки оттуда же примерно растущие) мог сам написать скрипт для удаления ненужных файлов и исправления значений ключей в реестр.

Лично я, пока пытался побороть этот злосчастный вирус, уже примерно стал понимать, как пишутся скрипты, по какому принципу удалять файлы и т.д. и т.п. Если бы изначально был адекватный и полный ХАУТУ по этому делу, то мне бы и не пришлось вообще создавать тут тему. Правда опять же, если вдруг такая тема будет создана, необходимо указать, что простым пользователям, новичкам, лучше наобум ничего не тыкать, а обратиться к форумчанам за помощью.

Прошу прощения за свою путанную речь, надеюсь моя мысль ясна.
В принципе, после некоторого изучения материала, я бы может и смог наваять статью, если смогу выделить немного времени и если это кому-нибудь будет интересно и нужно.

[akok]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::
RegLock::
[HKEY_USERS\S-1-5-21-746137067-1580436667-1417001333-500\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID]
RegNull::
[HKEY_USERS\S-1-5-21-746137067-1580436667-1417001333-500\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{EC00EFF2-7743-79A2-0859-CABC9C5453BC}*]

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Цитата:

Ах, да, у меня тут родилась интересная мысль (но на всяк случай скрою ее под катом)

Не все так просто и обычной темой не отобьёшься. Курс подготовки специалиста длится от 2 до 6 месяцев.
Подробнее

[kennyrus]

Все, сделал

читать дальше »

Там правда возникли затруднения: после выполнения скрипта и ребута системы combofix подвис на создании отчета. Поэтому я его второй раз запустил и все прошло нормально. Выкладываю этот отчет

[iskander-k]

Удалите комбофикс.

• Для деинсталяции ComboFix с компьютера необходимо выполнить:
Нажать Пуск затем Выполнить в окне наберите команду Combofix /u (обязательно нужен пробел между х и /), нажмите кнопку "ОК"


Или скачайте OTCleanIt, зеркало OTCleanIt, запустите, нажмите Clean up.

[kennyrus]

Все, сделано
Я так понимаю, теперь нужно нажать на кнопочку "отметить решенной"?)

[iskander-k]

Цитата kennyrus:

Я так понимаю, теперь нужно нажать на кнопочку "отметить решенной"?) »

Если проблем больше нет то можете отмечать.


Для безопасности...

Далее:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)
Можно использовать и OPERA.