Привет всем. Посмотрите пожалуйста логи. Есть вирус в скайпе который сам себя отсылает. Комп тормозит.Забыл добавить. Dr.Web нашёл 8 файлов из них 7 троянов
Привет всем. Посмотрите пожалуйста логи. Есть вирус в скайпе который сам себя отсылает. Комп тормозит.Забыл добавить. Dr.Web нашёл 8 файлов из них 7 троянов
Уважаемый(ая) Вячеслав Цыбуля, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\users\Лиза\appdata\roaming\8546.exe'); StopService('3064'); QuarantineFile('C:\Users\CCA4~1\AppData\Local\Temp\3064.sys',''); QuarantineFile('c:\users\Лиза\appdata\roaming\8546.exe',''); DeleteFile('C:\Users\CCA4~1\AppData\Local\Temp\3064.sys'); DeleteFile('C:\Users\Лиза\AppData\Roaming\8546.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','WINSXS32'); if MessageDLG('Отключить автозапуск со всех носителей, кроме CD?', mtConfirmation, mbYes+mbNo, 0) = 6 then RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); DeleteService('3064'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки:
- Выполните в АВЗ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Сделайте лог полного сканирования МВАМ.
- - - Добавлено - - -
+ Яндекс.Бар, Wincore Mediabar, Bing Bar, Google Toolbar, Search-Results Toolbar - чем из этого пользуетесь ? если не пользуетесь деинсталируйте.
Из всего оставил только яндекс
Guard.Mail.ru если не нужен тоже можете удалить.
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; ClearQuarantine; QuarantineFile('C:\Users\Лиза\AppData\Roaming\B56.exe', 'MBAM: Trojan.Agent'); QuarantineFile('C:\Users\Лиза\AppData\Roaming\1501.exe', 'MBAM: Trojan.Agent'); QuarantineFile('C:\Users\Лиза\AppData\Roaming\17FE.exe', 'MBAM: Trojan.Agent'); QuarantineFile('C:\Users\Лиза\AppData\Roaming\1B54.exe', 'MBAM: Trojan.Agent'); QuarantineFile('C:\Users\Лиза\AppData\Roaming\1D8B.exe', 'MBAM: Trojan.Agent'); QuarantineFile('C:\Users\Лиза\AppData\Roaming\21C.exe', 'MBAM: Trojan.Agent'); QuarantineFile('C:\Users\Лиза\AppData\Roaming\278A.exe', 'MBAM: Backdoor.Cidox.WMP'); QuarantineFile('C:\Users\Лиза\AppData\Roaming\2F29.exe', 'MBAM: Trojan.Agent'); QuarantineFile('C:\Users\Лиза\AppData\Roaming\323.exe', 'MBAM: Trojan.Agent'); QuarantineFile('C:\Users\Лиза\AppData\Roaming\47A.exe', 'MBAM: Trojan.Agent'); QuarantineFile('C:\Users\Лиза\AppData\Roaming\74A3.exe', 'MBAM: Trojan.Agent'); QuarantineFile('C:\Users\Лиза\AppData\Roaming\7CE0.exe', 'MBAM: Trojan.Agent'); QuarantineFile('C:\Users\Лиза\AppData\Roaming\85AD.exe', 'MBAM: Trojan.Agent'); QuarantineFile('C:\Users\Лиза\AppData\Roaming\87C8.exe', 'MBAM: Trojan.Agent'); QuarantineFile('C:\Users\Лиза\AppData\Roaming\897C.exe', 'MBAM: Trojan.Agent'); QuarantineFile('C:\Users\Лиза\AppData\Roaming\B4B4.exe', 'MBAM: Trojan.Agent'); QuarantineFile('C:\Users\Лиза\AppData\Roaming\B522.exe', 'MBAM: Trojan.Agent'); QuarantineFile('C:\Users\Лиза\AppData\Roaming\BBFA.exe', 'MBAM: Trojan.Agent'); QuarantineFile('C:\Users\Лиза\AppData\Roaming\C51B.exe', 'MBAM: Trojan.Agent'); QuarantineFile('C:\Users\Лиза\AppData\Roaming\CB79.exe', 'MBAM: Trojan.Agent'); QuarantineFile('C:\Users\Лиза\AppData\Roaming\D135.exe', 'MBAM: Trojan.Agent'); QuarantineFile('C:\Users\Лиза\AppData\Roaming\D481.exe', 'MBAM: Trojan.Agent'); QuarantineFile('C:\Users\Лиза\AppData\Roaming\D740.exe', 'MBAM: Trojan.Agent'); QuarantineFile('C:\Users\Лиза\AppData\Roaming\ED0A.exe', 'MBAM: Trojan.Agent'); QuarantineFile('C:\Users\Лиза\AppData\Roaming\EDF.exe', 'MBAM: Trojan.Agent'); QuarantineFile('C:\Users\Лиза\AppData\Roaming\F225.exe', 'MBAM: Trojan.Agent'); QuarantineFile('C:\Users\Лиза\AppData\Roaming\F9FD.exe', 'MBAM: Trojan.Agent'); QuarantineFile('C:\Users\Лиза\DoctorWeb\Quarantine\A8B5___0.exe', 'MBAM: Trojan.Winlock'); QuarantineFile('C:\Users\Лиза\DoctorWeb\Quarantine\ED27___0.exe', 'MBAM: Trojan.Winlock'); QuarantineFile('C:\Users\Лиза\DoctorWeb\Quarantine\FDA1___0.exe', 'MBAM: Trojan.Winlock'); DeleteFile('C:\Users\Лиза\AppData\Roaming\B56.exe'); DeleteFile('C:\Users\Лиза\AppData\Roaming\1501.exe'); DeleteFile('C:\Users\Лиза\AppData\Roaming\17FE.exe'); DeleteFile('C:\Users\Лиза\AppData\Roaming\1B54.exe'); DeleteFile('C:\Users\Лиза\AppData\Roaming\1D8B.exe'); DeleteFile('C:\Users\Лиза\AppData\Roaming\21C.exe'); DeleteFile('C:\Users\Лиза\AppData\Roaming\278A.exe'); DeleteFile('C:\Users\Лиза\AppData\Roaming\2F29.exe'); DeleteFile('C:\Users\Лиза\AppData\Roaming\323.exe'); DeleteFile('C:\Users\Лиза\AppData\Roaming\47A.exe'); DeleteFile('C:\Users\Лиза\AppData\Roaming\74A3.exe'); DeleteFile('C:\Users\Лиза\AppData\Roaming\7CE0.exe'); DeleteFile('C:\Users\Лиза\AppData\Roaming\85AD.exe'); DeleteFile('C:\Users\Лиза\AppData\Roaming\87C8.exe'); DeleteFile('C:\Users\Лиза\AppData\Roaming\897C.exe'); DeleteFile('C:\Users\Лиза\AppData\Roaming\B4B4.exe'); DeleteFile('C:\Users\Лиза\AppData\Roaming\B522.exe'); DeleteFile('C:\Users\Лиза\AppData\Roaming\BBFA.exe'); DeleteFile('C:\Users\Лиза\AppData\Roaming\C51B.exe'); DeleteFile('C:\Users\Лиза\AppData\Roaming\CB79.exe'); DeleteFile('C:\Users\Лиза\AppData\Roaming\D135.exe'); DeleteFile('C:\Users\Лиза\AppData\Roaming\D481.exe'); DeleteFile('C:\Users\Лиза\AppData\Roaming\D740.exe'); DeleteFile('C:\Users\Лиза\AppData\Roaming\ED0A.exe'); DeleteFile('C:\Users\Лиза\AppData\Roaming\EDF.exe'); DeleteFile('C:\Users\Лиза\AppData\Roaming\F225.exe'); DeleteFile('C:\Users\Лиза\AppData\Roaming\F9FD.exe'); DeleteFile('C:\Users\Лиза\DoctorWeb\Quarantine\A8B5___0.exe'); DeleteFile('C:\Users\Лиза\DoctorWeb\Quarantine\ED27___0.exe'); DeleteFile('C:\Users\Лиза\DoctorWeb\Quarantine\FDA1___0.exe'); DelBHO('{7E853D72-626A-48EC-A868-BA8D5E23E045}'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки:
- Выполните в АВЗ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Профиксите в HijackThis
Код:O20 - AppInit_DLLs:
- просканируйте заново MBAM и приложите новый лог.
-
- Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
- Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
- Прикрепите отчет к своему следующему сообщению.
Guard.Mail.ru удалил. У меня ещё проблема. Не могу нигде найти НОД32 что был установлен. Его нету не в програмах даже рево унинсталер его не видет.
Удалите в MBAM только
------------------------------Код:Обнаруженные ключи в реестре: 4 HKCR\CLSID\{f34c9277-6577-4dff-b2d7-7d58092f272f} (PUP.Datamngr) -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{F34C9277-6577-4DFF-B2D7-7D58092F272F} (PUP.Datamngr) -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{F34C9277-6577-4DFF-B2D7-7D58092F272F} (PUP.Datamngr) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F34C9277-6577-4DFF-B2D7-7D58092F272F} (PUP.Datamngr) -> Действие не было предпринято.
Внимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!
- Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления.
- Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt.
- Прикрепите отчет к своему следующему сообщению
------------------------------------------------------------
папку с карантином внутри папки AVZ удалите сами вручную.
попробуйте его переустановить (установить заново).
что с проблемами ?
Проблема вроде пропала. Больше ничего не отсылается. Нод попробую переустановить.
Спасибо
Выполните скрипт в AVZ при наличии доступа в интернет:
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.Код:begin if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt'); If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt') Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false); ExitAVZ; end.
Советы и рекомендации после лечения компьютера
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 95
- В ходе лечения обнаружены вредоносные программы:
- c:\\users\\лиза\\appdata\\roaming\\bbfa.exe - Trojan.Win32.Genome.ajfqp ( DrWEB: Trojan.Spamlink.27, BitDefender: Trojan.Generic.KDZ.2159 )
- c:\\users\\лиза\\appdata\\roaming\\b4b4.exe - Trojan.Win32.Genome.ajfqp ( DrWEB: Trojan.Spamlink.27, BitDefender: Trojan.Generic.KDZ.2159 )
- c:\\users\\лиза\\appdata\\roaming\\b522.exe - Trojan.Win32.Genome.ajfqp ( DrWEB: Trojan.Spamlink.27, BitDefender: Trojan.Generic.KDZ.2159 )
- c:\\users\\лиза\\appdata\\roaming\\b56.exe - Trojan.Win32.Genome.ajfqp ( DrWEB: Trojan.Spamlink.27, BitDefender: Trojan.Generic.KDZ.2159 )
- c:\\users\\лиза\\appdata\\roaming\\cb79.exe - Trojan.Win32.Genome.ajfqp ( DrWEB: Trojan.Spamlink.27, BitDefender: Trojan.Generic.KDZ.2159 )
- c:\\users\\лиза\\appdata\\roaming\\c51b.exe - Trojan.Win32.Genome.ajfqp ( DrWEB: Trojan.Spamlink.27, BitDefender: Trojan.Generic.KDZ.2159 )
- c:\\users\\лиза\\appdata\\roaming\\d135.exe - Trojan.Win32.Genome.ajfqp ( DrWEB: Trojan.Spamlink.27, BitDefender: Trojan.Generic.KDZ.2159 )
- c:\\users\\лиза\\appdata\\roaming\\d481.exe - Trojan.Win32.Genome.ajfqp ( DrWEB: Trojan.Spamlink.27, BitDefender: Trojan.Generic.KDZ.2159 )
- c:\\users\\лиза\\appdata\\roaming\\d740.exe - Trojan.Win32.Genome.ajfqp ( DrWEB: Trojan.Spamlink.27, BitDefender: Trojan.Generic.KDZ.2159 )
- c:\\users\\лиза\\appdata\\roaming\\edf.exe - Trojan.Win32.Genome.ajfqp ( DrWEB: Trojan.Spamlink.27, BitDefender: Trojan.Generic.KDZ.2159 )
- c:\\users\\лиза\\appdata\\roaming\\ed0a.exe - Trojan.Win32.Genome.ajfqp ( DrWEB: Trojan.Spamlink.27, BitDefender: Trojan.Generic.KDZ.2159 )
- c:\\users\\лиза\\appdata\\roaming\\f225.exe - Trojan.Win32.Genome.ajfqp ( DrWEB: Trojan.Spamlink.27, BitDefender: Trojan.Generic.KDZ.2159 )
- c:\\users\\лиза\\appdata\\roaming\\f9fd.exe - Trojan.Win32.Genome.ajfqp ( DrWEB: Trojan.Spamlink.27, BitDefender: Trojan.Generic.KDZ.2159 )
- c:\\users\\лиза\\appdata\\roaming\\1b54.exe - Trojan.Win32.Genome.ajfqp ( DrWEB: Trojan.Spamlink.27, BitDefender: Trojan.Generic.KDZ.2159 )
- c:\\users\\лиза\\appdata\\roaming\\1d8b.exe - Trojan.Win32.Genome.ajfqp ( DrWEB: Trojan.Spamlink.27, BitDefender: Trojan.Generic.KDZ.2159 )
- c:\\users\\лиза\\appdata\\roaming\\1501.exe - Trojan.Win32.Genome.ajfqp ( DrWEB: Trojan.Spamlink.27, BitDefender: Trojan.Generic.KDZ.2159 )
- c:\\users\\лиза\\appdata\\roaming\\17fe.exe - Trojan.Win32.Genome.ajfqp ( DrWEB: Trojan.Spamlink.27, BitDefender: Trojan.Generic.KDZ.2159 )
- c:\\users\\лиза\\appdata\\roaming\\2f29.exe - Trojan.Win32.Genome.ajfqp ( DrWEB: Trojan.Spamlink.27, BitDefender: Trojan.Generic.KDZ.2159 )
- c:\\users\\лиза\\appdata\\roaming\\21c.exe - Trojan.Win32.Genome.ajfqp ( DrWEB: Trojan.Spamlink.27, BitDefender: Trojan.Generic.KDZ.2159 )
- c:\\users\\лиза\\appdata\\roaming\\278a.exe - Backdoor.Win32.Cidox.ppw ( DrWEB: Trojan.Swizzor.18337, BitDefender: Gen:Variant.Symmi.7725 )
- c:\\users\\лиза\\appdata\\roaming\\323.exe - Trojan.Win32.Genome.ajfqp ( DrWEB: Trojan.Spamlink.27, BitDefender: Trojan.Generic.KDZ.2159 )
- c:\\users\\лиза\\appdata\\roaming\\47a.exe - Trojan.Win32.Genome.ajfqp ( DrWEB: Trojan.Spamlink.27, BitDefender: Trojan.Generic.KDZ.2159 )
- c:\\users\\лиза\\appdata\\roaming\\7ce0.exe - Trojan.Win32.Genome.ajfqp ( DrWEB: Trojan.Spamlink.27, BitDefender: Trojan.Generic.KDZ.2159 )
- c:\\users\\лиза\\appdata\\roaming\\74a3.exe - Trojan.Win32.Genome.ajfqp ( DrWEB: Trojan.Spamlink.27, BitDefender: Trojan.Generic.KDZ.2159 )
- c:\\users\\лиза\\appdata\\roaming\\85ad.exe - Trojan.Win32.Genome.ajfqp ( DrWEB: Trojan.Spamlink.27, BitDefender: Trojan.Generic.KDZ.2159 )
- c:\\users\\лиза\\appdata\\roaming\\8546.exe - Trojan-Ransom.Win32.PornoAsset.bnmz ( DrWEB: Trojan.Siggen4.40328, BitDefender: Trojan.Generic.KDZ.2149 )
- c:\\users\\лиза\\appdata\\roaming\\87c8.exe - Trojan.Win32.Genome.ajfqp ( DrWEB: Trojan.Spamlink.27, BitDefender: Trojan.Generic.KDZ.2159 )
- c:\\users\\лиза\\appdata\\roaming\\897c.exe - Trojan.Win32.Genome.ajfqp ( DrWEB: Trojan.Spamlink.27, BitDefender: Trojan.Generic.KDZ.2159 )
- c:\\users\\лиза\\doctorweb\\quarantine\\a8b5___0.e xe - Trojan-Ransom.Win32.PornoAsset.aouh ( DrWEB: Trojan.Winlock.7095, BitDefender: Gen:Variant.Kazy.102691 )
- c:\\users\\лиза\\doctorweb\\quarantine\\ed27___0.e xe - Trojan-Ransom.Win32.PornoAsset.aouh ( DrWEB: Trojan.Winlock.7095, BitDefender: Gen:Variant.Kazy.102691 )
- c:\\users\\лиза\\doctorweb\\quarantine\\fda1___0.e xe - Trojan-Ransom.Win32.PornoAsset.aouh ( DrWEB: Trojan.Winlock.7095, BitDefender: Gen:Variant.Kazy.102691 )
Уважаемый(ая) Вячеслав Цыбуля, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.