Здравствуйте. Загружает на 100% .
Здравствуйте. Загружает на 100% .
Здравствуйте.
Отключите восстановление системы!
Пофиксите в HijackThis:
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):Код:F2 - REG:system.ini: Shell=explorer.exe rundll32.exe
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\docume~1\admin\locals~1\temp\winlogin.exe'); TerminateProcessByName('c:\docume~1\admin\locals~1\temp\aqw.exe'); QuarantineFile('C:\Documents and Settings\Admin\install.exe',''); QuarantineFile('C:\WINDOWS\Akyqoa.exe',''); QuarantineFile('D:\S-1-5-21-1486576501-1644491937-682003330-1013\msupdate.exe',''); QuarantineFile('C:\WINDOWS\wsrams.dll',''); QuarantineFile('C:\WINDOWS\system32\drwat32.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-1202660629-2025429265-1606980848-1006\update.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\klif.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\iqtmjo.sys',''); QuarantineFile('c:\docume~1\admin\locals~1\temp\winlogin.exe',''); QuarantineFile('c:\docume~1\admin\locals~1\temp\aqw.exe',''); DeleteFile('C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job'); DeleteFile('C:\WINDOWS\Tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job'); DeleteFile('c:\docume~1\admin\locals~1\temp\aqw.exe'); DeleteFile('c:\docume~1\admin\locals~1\temp\winlogin.exe'); DeleteFile('C:\WINDOWS\system32\drivers\iqtmjo.sys'); DeleteFile('C:\WINDOWS\system32\drivers\klif.sys'); DeleteFile('C:\RECYCLER\S-1-5-21-1202660629-2025429265-1606980848-1006\update.exe'); DeleteFile('C:\WINDOWS\system32\drwat32.exe'); DeleteFile('C:\WINDOWS\wsrams.dll'); DeleteFile('D:\S-1-5-21-1486576501-1644491937-682003330-1013\msupdate.exe'); DeleteFile('C:\WINDOWS\Akyqoa.exe'); DeleteFile('C:\Documents and Settings\Admin\install.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','M5T8QL3YW3'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','winlogon'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','DReaMer'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Urgent System Check'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Wzalis'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Internet Security Update'); DeleteService('KLIF'); DeleteService('abp470n5'); BC_ImportAll; ExecuteSysClean; BC_Activate; Executerepair(16); RebootWindows(true); end.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
по-прежнему
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\activedsp.exe',''); QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll',''); DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Обновите базы AVZ
Сделайте новые логи + лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
если я отменю данный процесс то будет уже не то? нужно сканировать с загруженным процессором или можно завершить svchost.exe? логи делаются с черепашьей скоростью
при запуске gmer тут же перезагружается
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\activedsp.exe'); DeleteService('ScheduleWMPNetworkSvc'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Проверьтесь http://support.kaspersky.ru/viruses/...?qid=208636926
После этого новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
После выполнения последнего скрипта, похоже что проблема решилась. Спасибо.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
вот
Закройте все программы, выполните скрипт в AVZ:После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правиламКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\windows\system32\fsusbexservice.exe',''); QuarantineFile('c:\windows\system32\wuauclt.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS',''); DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS'); QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll',''); RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak'); CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll'); DeleteFile('C:\WINDOWS\System32\sfcfiles.bak'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
логи
Пофиксите в Hijack
Больше плохого не видноКод:O2 - BHO: (no name) - {6D125299-C2A9-4DBC-BEC3-6F7124E39A41} - (no file) O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file) O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file)
Установите Adobe Acrobat 9.3 или удалите старый
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 88
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\admin\install.exe - Trojan.Win32.Scar.cchh ( DrWEB: BackDoor.Ddoser.92, BitDefender: Gen:Trojan.Heur.PT.MqXaa0aJ3Bm, AVAST4: Win32:Malware-gen )
- c:\docume~1\admin\locals~1\temp\aqw.exe - Packed.Win32.Katusha.m ( DrWEB: BackDoor.Siggen.17762, BitDefender: Gen:Variant.Renos.14, AVAST4: Win32:MalOb-AS [Cryp] )
- c:\docume~1\admin\locals~1\temp\winlogin.exe - Trojan.Win32.Scar.cchh ( DrWEB: BackDoor.Ddoser.92, BitDefender: Gen:Trojan.Heur.PT.MqXaa0aJ3Bm, AVAST4: Win32:Malware-gen )
- c:\program files\internet explorer\setupapi.dll - Trojan.Win32.BHO.aghu ( DrWEB: Trojan.Siggen1.29359 )
- c:\windows\system32\sfcfiles.dll - Trojan.Win32.Patched.fr ( DrWEB: Trojan.WinSpy.641, AVAST4: Win32:Patched-OT [Trj] )
Уважаемый(ая) Morb, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.