Обновил базы, была авира, пробовал свежим диском KRD2011 и DRWEB удалили часть зверей, но эта гадость осталась. Как побороть не знаю ниже логи. Заранее спасибо.
Обновил базы, была авира, пробовал свежим диском KRD2011 и DRWEB удалили часть зверей, но эта гадость осталась. Как побороть не знаю ниже логи. Заранее спасибо.
Обновите базы AVZ.
Если базы не обновляются через меню Файл, скачайте архив баз http://z-oleg.com/secur/avz_up/avzbase.zip
и распакуйте его в папку Base внутри папки AVZ, заменив имеющиеся файлы и перезапустите AVZ.
Отключите интернет.
Выгрузите/отключите антивирус/файрволл.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('H:\autorun.inf',''); QuarantineFile('c:\RECYCLER\F-1-5-21-1482476501-1644491937-682003330-1013\wincache.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-6408815817-0899749121-731393227-5144\djwi2kcew.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-5141223923-6184228868-458388422-7210\djwi2kcew.exe',''); QuarantineFile('C:\WINDOWS\system32\dvmurl.dll',''); QuarantineFile('C:\PROGRA~1\COMMON~1\Avest\Avest',''); QuarantineFile('C:\PROGRA~1\COMMON~1\Avest\Avest CSP\AvSSPc.dll',''); QuarantineFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\zufopunnou.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\LYQ3PHX4\ms0593[1].exe',' '); QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\PS28YDZB\bnet[1].exe',' '); QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\PS28YDZB\ms0593[2].exe',' '); QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\PS28YDZB\myms[1].exe',' '); QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\PS28YDZB\myms[2].exe',' '); DeleteFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\zufopunnou.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','fafooqu'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','fafooqu'); DeleteFile('C:\RECYCLER\S-1-5-21-6408815817-0899749121-731393227-5144\djwi2kcew.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-5141223923-6184228868-458388422-7210\djwi2kcew.exe'); DeleteFile('c:\RECYCLER\F-1-5-21-1482476501-1644491937-682003330-1013\wincache.exe'); DeleteFileMask('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5','*.*', true); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
После перезагрузки выполните скрипт в AVZ:
Запустите/включите антивирус/файрволл.Код:begin CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end.
Подключите интернет.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
Повторите лог virusinfo_syscheck.zip и лог HijackThis и приложите в теме.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Сделал как все описано, большое спасибо, за внимание, жду от вас дальнейших указаний.
Выполните скрипт в AVZ отсюда:
http://df.ru/~kad/ScanVuln.txt
Файл avz_log.txt из папки AVZ\LOG приложите в теме.
Пройдите по всем ссылкам (http:...) в avz_log.txt и установите указанные там обновления.
Выполните еще раз скрипт в http://df.ru/~kad/ScanVuln.txt и убедитесь, что обновления установились.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:procedure FixServiceStart(ServiceName:string;); var j:integer; NumStr:string; begin for j:=0 to 999 do begin if j=0 then NumStr:='CurrentControlSet' else if j<10 then NumStr:='ControlSet00'+IntToStr(j) else if j<100 then NumStr:='ControlSet0'+IntToStr(j) else NumStr:='ControlSet'+IntToStr(j); if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\' + ServiceName) then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\' + ServiceName); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\' + ServiceName, 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\' + ServiceName + ' исправлено на оригинальное.'); if (RegKeyIntParamRead('HKLM', 'SYSTEM\'+NumStr+'\Services\' + ServiceName, 'Start') = 0) then begin RegKeyIntParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\' + ServiceName,'Start', 2); AddToLog('Тип запуска службы ' + ServiceName + ' переведен в режим Авто.'); end; end; end; end; begin FixServiceStart('wscsvc'); SaveLog(GetAVZDirectory + 'wscsvc.log'); RebootWindows(true); end.
Файл wscsvc.log из папки AVZ приложите в теме.
Повторите для контроля лог virusinfo_syscheck.zip и приложите в теме.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 27
- В ходе лечения обнаружены вредоносные программы:
- c:\\recycler\\f-1-5-21-1482476501-1644491937-682003330-1013\\wincache.exe - Net-Worm.Win32.Kolab.xgy ( DrWEB: Win32.HLLW.Autoruner.47261, BitDefender: Trojan.Generic.5748435, AVAST4: Win32:Downloader-NUE [Trj] )
Уважаемый(ая) Toshikmogilev, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.