Посоветуйте, пожалуйста, как избавиться от нечисти.
Логи удалось сделать только в безопасном режиме. В обычном AVZ уходил в себя и не возвращался.
Посоветуйте, пожалуйста, как избавиться от нечисти.
Логи удалось сделать только в безопасном режиме. В обычном AVZ уходил в себя и не возвращался.
Последний раз редактировалось Dexer; 19.01.2010 в 08:29.
Хорошо нахватались...
Отключите восстановление системы!!!
Пофиксите в Hijackthis:
Закройте все программы, запустите только AVZ и Internet Explorer.Код:R3 - Default URLSearchHook is missing F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe calc.ifo beforemain F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe, O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
Выполните скрипт в AVZ:
После выполнения скрипта компьютер перезагрузится!!!Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\PROGRA~1\Webalta\WEBALT~1.DLL',''); QuarantineFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL',''); QuarantineFile('C:\Documents and Settings\Вера\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll',''); QuarantineFile('C:\Program Files\BitAccelerator\BitAccelerator.dll',''); QuarantineFile('C:\PROGRA~1\Webalta\WEBALT~2.DLL',''); QuarantineFile('C:\Program Files\ConnectionServices\ConnectionServices.dll',''); QuarantineFile('C:\Program Files\ContentSaver\ContentSaver.dll',''); QuarantineFile('C:\WINDOWS\system32\sdra64.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\symavc32.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys',''); QuarantineFile('C:\WINDOWS\system32\afd.dll',''); QuarantineFile('C:\WINDOWS\system32\drivers\ksi32sk.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys',''); QuarantineFile('C:\Documents and Settings\Вера\Рабочий стол\DCEFEC2C9DE96BF0\DCEFEC2C9DE96BF0',''); QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\amd64si.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys',''); QuarantineFile('C:\Program Files\Webalta\WebaltaUpdaterService.exe',''); QuarantineFile('C:\WINDOWS\system32\calc.ifo',''); DeleteService('systemntmi'); DeleteService('symavc32'); DeleteService('securentm'); DeleteService('port135sik'); DeleteService('nicsk32'); DeleteService('netsik'); DeleteService('navigator'); DeleteService('ksi32sk'); DeleteService('i386si'); DeleteService('fips32cup'); DeleteService('DCEFEC2C9DE96BF0'); DeleteService('ati64si'); DeleteService('amd64si'); DeleteService('acpi32'); DeleteService('WebaltaController'); DelCLSID('D250CF30-1CF3-4CED-AA2B-D76F5FD05C99'); DelBHO('D4C56A33-3488-495B-8033-9BF834E276D8'); DelBHO('FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86'); DelBHO('95289393-33EA-4F8D-B952-483415B9C955'); DelBHO('92860A02-4D69-48c1-82D7-EF6B2C609502'); DelBHO('6D7B211A-88EA-490c-BAB9-3600D8D7C503'); DelBHO('6C3BDD12-4B6F-44F1-87CB-4D94E1ED38A5'); DelBHO('29F340EA-2108-40d0-94A0-62EC2B9EDF59'); DeleteFile('C:\WINDOWS\system32\calc.ifo'); DeleteFile('C:\Program Files\Webalta\WebaltaUpdaterService.exe'); DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys'); DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys'); DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys'); DeleteFile('C:\Documents and Settings\Вера\Рабочий стол\DCEFEC2C9DE96BF0\DCEFEC2C9DE96BF0'); DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys'); DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys'); DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys'); DeleteFile('C:\WINDOWS\system32\afd.dll'); DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys'); DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys'); DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys'); DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys'); DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys'); DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys'); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); DeleteFile('C:\Program Files\ContentSaver\ContentSaver.dll'); DeleteFile('C:\PROGRA~1\Webalta\WEBALT~2.DLL'); DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll'); DeleteFile('C:\Program Files\BitAccelerator\BitAccelerator.dll'); DeleteFile('C:\Documents and Settings\Вера\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll'); DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL'); DeleteFile('C:\PROGRA~1\Webalta\WEBALT~1.DLL'); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('systemntmi'); BC_DeleteSvc('symavc32'); BC_DeleteSvc('securentm'); BC_DeleteSvc('port135sik'); BC_DeleteSvc('nicsk32'); BC_DeleteSvc('netsik'); BC_DeleteSvc('navigator'); BC_DeleteSvc('ksi32sk'); BC_DeleteSvc('i386si'); BC_DeleteSvc('fips32cup'); BC_DeleteSvc('DCEFEC2C9DE96BF0'); BC_DeleteSvc('ati64si'); BC_DeleteSvc('amd64si'); BC_DeleteSvc('acpi32'); BC_DeleteSvc('WebaltaController'); BC_Activate; RebootWindows(true); end.
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Очистите временные папки интернета.
Обновите базы AVZ.Внимание !!! База поcледний раз обновлялась 21.05.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Сделайте новые логи по правилам в обычном режиме.
Готово.
Последний раз редактировалось Dexer; 19.01.2010 в 08:29.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Program Files\Common Files\System\WebCheck.dll',''); DeleteFile('C:\Program Files\Common Files\System\WebCheck.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; SetAVZPMStatus(True); RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Готово.
Последний раз редактировалось Dexer; 19.01.2010 в 08:29.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelCLSID('{E6FB5E20-DE35-11CF-9C87-00AA005127ED}'); DeleteFile('C:\Program Files\Common Files\System\WebCheck.dll'); ExecuteSysClean; RebootWindows(true); end.
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
И запустите cleanup.batКод:gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\DCEFEC2C9DE96BF0" gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\DCEFEC2C9DE96BF0" gmer.exe -reboot
Компьютер перезагрузится
Сделать новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Готово.
Последний раз редактировалось Dexer; 19.01.2010 в 08:28.
- Выполните скрипт
А лог gmer?Код:begin ExecuteRepair(13); RebootWindows(true); end.
GMER - прекрасная вещь, но два с половиной часа на сканирование - это серьезно.
Внешних признаков нечисти вроде не осталось.
Последний раз редактировалось Dexer; 19.01.2010 в 08:28.
Чисто
Установите Adobe Acrobat 9.1.3 или удалите старый
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Большое Спасибо!
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 59
- В ходе лечения обнаружены вредоносные программы:
- c:\program files\common files\system\webcheck.dll - Trojan-PSW.Win32.Agent.npx ( DrWEB: Trojan.Mifesto, BitDefender: Trojan.Generic.2195466 )
- c:\progra~1\webalta\webaltaadshunter.dll - not-a-virus:AdWare.Win32.Webalt.h ( DrWEB: Trojan.Mycentria.32, BitDefender: Application.Generic.30121 )
- c:\progra~1\webalta\webaltatoolbar.dll - not-a-virus:AdWare.Win32.Webalt.j ( BitDefender: Application.Generic.174374 )
- c:\progra~1\webalta\webalt~1.dll - not-a-virus:AdWare.Win32.Webalt.j ( BitDefender: Application.Generic.174374 )
- c:\progra~1\webalta\webalt~2.dll - not-a-virus:AdWare.Win32.Webalt.h ( DrWEB: Trojan.Mycentria.32, BitDefender: Application.Generic.30121 )
- c:\windows\system32\afd.dll - Rootkit.Win32.Agent.lsf ( DrWEB: Trojan.NtRootKit.2931, BitDefender: Trojan.Generic.2084292, NOD32: Win32/Agent.PKM trojan, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\calc.ifo - Trojan-Downloader.Win32.Small.jvn ( DrWEB: Trojan.DownLoad.38479, BitDefender: Trojan.Downloader.Agent.AAOL, NOD32: Win32/TrojanDownloader.Agent.PEH trojan, AVAST4: Win32:Oficla-FWP [Trj] )
- c:\windows\system32\sdra64.exe - Trojan-Spy.Win32.Zbot.wwo ( DrWEB: Trojan.PWS.Panda.114, BitDefender: Trojan.Generic.2058806, AVAST4: Win32:Zbot-LTF [Trj] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) Dexer, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.