Доброго времени суток. Помогите вернуть к жизни компьютер. А то я сам даже логи толком посмотреть не могу. IE не работает.
Вложение 258680
Вложение 258681
Сейчас попытаюсь добавить третий лог.
Доброго времени суток. Помогите вернуть к жизни компьютер. А то я сам даже логи толком посмотреть не могу. IE не работает.
Вложение 258680
Вложение 258681
Сейчас попытаюсь добавить третий лог.
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в Safe Mode:
После выполнения скрипта компьютер перезагрузится!Код:begin SetAVZGuardStatus(True); DeleteFile(GetAVZDirectory+'log\virusinfo_cure.zip'); DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); DelBHO('{35A6E2B1-27A9-47D2-913C-559E1EF1D034}'); QuarantineFile('C:\WINDOWS\system32\qdzmcv.exe',''); QuarantineFile('C:\WINDOWS\system32\2f5e60da.exe',''); QuarantineFile('C:\Documents and Settings\rdima\Главное меню\Программы\Автозагрузка\monoca32.exe',''); DeleteFile('C:\Documents and Settings\rdima\Главное меню\Программы\Автозагрузка\monoca32.exe'); DeleteFile('C:\WINDOWS\system32\2f5e60da.exe'); DeleteFile('C:\WINDOWS\system32\qdzmcv.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
3. Выполните скрипт в AVZ:
Загрузите файл quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=84910Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
4. Сделайте лог virusinfo_syscure в обычном режиме.
Сердце решает кого любить... Судьба решает с кем быть...
Файл сохранён как 100808_175905_quarantine_4c5eb829e676c.zip
Сейчас сделаю лог syscure.
Прежде, чем обратиться сюда, прошелся парсером по логу syscheck, там было(Лог могу выложить)>>> C:\Program Files\Internet Explorer\setupapi.dll ЭПС: подозрение на "Троянская DLL в каталоге IE" (высокая степень вероятности)
>>> C:\Program Files\Internet Explorer\setupapi.dll ЭПС: подозрение на скрытый автозапуск AppCertDlls (высокая степень вероятности)
9. Мастер поиска и устранения проблем
>> Обнаружен статический маршрут к сайту производителя антивируса
C:\WINDOWS\system32\config\systemprofile\Applicati on Data\Microsoft\svchost.exe
После этого прошелся скриптом
Парсер еще это предлагалКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('digeste.dll'); DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll'); DeleteFile('C:\WINDOWS\system32\config\systemprofile\Application Data\Microsoft\svchost.exe'); BC_ImportALL; ExecuteSysClean; ExecuteRepair(20); BC_Activate; RebootWindows(true); end.Когда запускал Firefox, Касперский нашел тот же setupapi.dll в папке этого браузера и выполнил программу лечения. Был TrojanWin32.BHO.ajcbRegKeyParamDel('HKEY_LOCAL_MACHINE','System\Curren tControlSet\Control\SecurityProviders','SecurityPr oviders');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\Curren tControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Micro soft\Windows\CurrentVersion\Run','svchost.exe');
Вложение 258717
Предлагаю выполнить скрипт:
Провериться антивирусом.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DelAutorunByFileName('C:\WINDOWS\system32\2f5e60da.exe'); DeleteFileMask('C:\WINDOWS\Temp\', '*.*', true); ExecuteWizard('TSW',2,2,true); RebootWindows(true); end.
Установить обновления и IE, т.к. его удалил вирус.
Еще что-нибудь нужно?
В данном случае, Aleksandra, вместо. А с рабочим интернетом и нетормозящим компьютером головой. Пусть это останется на моей совести.
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
После выполнения скрипта компьютер перезагрузится!Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); DeleteFile('C:\WINDOWS\system32\2f5e60da.exe'); DeleteFile('C:\WINDOWS\system32\qdzmcv.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
3. Повторите лог virusinfo_syscheck.
Сердце решает кого любить... Судьба решает с кем быть...
Вложение 258768
Скрипт выполнил, только файлы из скрипта уже были удалены еще в сообщении 2 (проверял).
Кроме того, что написал выше, не нравится в логах GMSIPCI (какой-то драйвер с диска F) и порты TCP 1042, 1053.
Вирусы обнаружил такие:
Trojan.Win32.BHO.ajcb
Trojan.BAT.KillFiles.np
Trojan-Spy.Win32.Agent.biiq
Trojan-Banker.Win32.Fibbit.y
HEUR:Trojan.Win32.Generic
Пароли, думаю, надо поменять.
Ничего плохого в логах не увидела. Установите SP3 и все доступные обновления.
Сердце решает кого любить... Судьба решает с кем быть...
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\rdima\главное меню\программы\автозагрузка\monoca32.exe - Rootkit.Win32.Agent.bijs ( DrWEB: Trojan.Botnetlog.478, BitDefender: Backdoor.Generic.412084, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\qdzmcv.exe - Backdoor.Win32.Shiz.se ( DrWEB: Trojan.Packed.20817, BitDefender: Gen:Variant.Zbot.15, AVAST4: Win32:Spyware-gen [Spy] )
- c:\windows\system32\2f5e60da.exe - Backdoor.Win32.Shiz.ts ( DrWEB: Trojan.Packed.20815, AVAST4: Win32:Malware-gen )
Уважаемый(ая) Betelgeize, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.