Вылазит SPEED2,и есть еще вот такя штучка explorer.exe с номером,а после использования AVZ пропал нод и не хочет загружатся(((Подскажите что делать?Заранее благодарен !
Вылазит SPEED2,и есть еще вот такя штучка explorer.exe с номером,а после использования AVZ пропал нод и не хочет загружатся(((Подскажите что делать?Заранее благодарен !
Уважаемый(ая) Proha, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ (как выполнить):
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; DelBHO('{963B125B-8B21-49A2-A3A8-E37092276531}'); DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}'); QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\XE04YJvRvCc.exe',''); QuarantineFile('C:\Documents and Settings\Admin\Application Data\taskhost.exe',''); QuarantineFile('C:\Documents and Settings\Admin\Application Data\Enva\neufn.exe',''); QuarantineFile('C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msnuzbh.bat',''); DeleteFile('C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msnuzbh.bat'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','12610'); DeleteFile('C:\Documents and Settings\Admin\Application Data\Enva\neufn.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','{6ABACC41-5DA9-DE92-05D0-2A535FE968F7}'); DeleteFile('C:\Documents and Settings\Admin\Application Data\taskhost.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Taskhost'); DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\XE04YJvRvCc.exe'); ClearHostsFile; ExecuteRepair(3); ExecuteRepair(4); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки выполните скрипт в AVZ:
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".Код:begin CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end.
Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела "Диагностика" правил) и приложите в теме.
Сделайте логи RSIT:
http://virusinfo.info/showthread.php...292#post859292
и приложите.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
По вашей просьбе:
Выполните скрипт в AVZ (как выполнить):
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msnuzbh.bat'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','12610'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Эти папки удалите вручную:
Сделайте заново лог virusinfo_syscheck.zip (пункт 2 раздела "Диагностика" правил) и приложите в теме.Код:C:\Documents and Settings\All Users\Application Data\IBank C:\Documents and Settings\Admin\Application Data\Pevon C:\Documents and Settings\Admin\Application Data\Enva
Рекомендую сменить все пароли (особенно банковские).
Что с проблемой?
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Проблема остается,по крайней мере нод матерится на Zbots!А спид2 никуда не делся
По вашему вопросу:
С паролями пока повремените.
В указанной последовательности:
Установите все обновления безопасности, вышедшие после Service Pack 3:
http://windowsupdate.microsoft.com/
Выполните скрипт в AVZ отсюда:
http://dataforce.ru/~kad/ScanVuln.txt
Файл avz_log.txt из папки AVZ\LOG приложите в теме.
Пройдите по всем ссылкам (http:...) в avz_log.txt и установите указанные там обновления.
Выполните еще раз скрипт в http://dataforce.ru/~kad/ScanVuln.txt и убедитесь, что обновления установились.
Выполните скрипт в AVZ (как выполнить):
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msnuzbh.bat'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','12610'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('SCU',2,2,true); BC_Activate; RebootWindows(true); end.
Пофиксите в HijackThis, если осталась такая строка (как пофиксить):
Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела "Диагностика" правил) и приложите в теме.Код:O4 - HKLM\..\Policies\Explorer\Run: [12610] C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msnuzbh.bat
Скачайте, распакуйте и запустите TDSSKiller:
http://support.kaspersky.ru/faq/?qid=208636926
Если программа обругается на файл WINDOWS\system32\Drivers\sptd.sys, то не удаляйте его.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска).
Спид2 в каких браузерах появляется? В IE тоже есть?
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Да во всех имеющихся браузерах(IE,FF,Opera).
- - - Добавлено - - -
Еще появилось вот такая херь.
в hosts строчки
сами прописывали ?Код:127.0.0.1 su.ff.avast.com 127.0.0.1 vl.ff.avast.com 127.0.0.1 fraudtarot.net
Обновите базы AVZ !
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\documents and settings\admin\application data\microsoft\taskhost.exe'); QuarantineFile('C:\Documents and Settings\Admin\Application Data\Microsoft\taskhost.exe',''); QuarantineFile('C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msnuzbh.bat',''); DeleteFile('C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msnuzbh.bat'); DeleteFile('C:\Documents and Settings\Admin\Application Data\Microsoft\taskhost.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','12610'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Taskhost'); ClearHostsFile; BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки:
- Выполните в АВЗ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Сделайте лог ComboFix
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
файлы у вас тоже зашифровались ?
Ничего негде я не прописывал.Файлы не зашифрованы.
Пофиксите в HiJack
Проблема решена?Код:R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://browserhelp2.ru
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Как бы на IE изчезло Speed2 но в Opera и FF осталось.(((.Сейчас досканирую нодом и глянем что с explorer.exe и VoltarZbot.
Попробуйте такой рецепт
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Прошу прощение но у меня все таки все файлы зашифрованы(
- - - Добавлено - - -
Djn
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 16
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\admin\\application data\\enva\\neufn.exe - Trojan-Ransom.Win32.PornoAsset.qsw ( DrWEB: Trojan.PWS.Panda.368, BitDefender: Gen:Heur.PIF.3 )
- c:\\documents and settings\\admin\\application data\\microsoft\\taskhost.exe - Backdoor.Win32.Buterat.bngj ( BitDefender: Gen:Variant.Zusy.17973 )
- c:\\documents and settings\\admin\\главное меню\\программы\\автозагрузка\\xe04yjvrvcc.exe - Trojan-Ransom.Win32.PornoAsset.qzg ( DrWEB: Trojan.Carberp.647, BitDefender: Gen:Variant.Kazy.91430 )
- c:\\docume~1\\alluse~1\\locals~1\\temp\\msnuzbh.ba t - Trojan.Win32.Jorik.Androm.yn ( DrWEB: BackDoor.Andromeda.22, BitDefender: Trojan.Generic.KDV.723424 )
Уважаемый(ая) Proha, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.