Что-то доктор веб совсем мышей не ловит Обнаружил на компе тысячу и один окопавшийся зловред, лечил касперским ливом, удалял вручную, толку мало, все равно после перезагрузки размножаются в прежнем объеме. Помогите плз.
Что-то доктор веб совсем мышей не ловит Обнаружил на компе тысячу и один окопавшийся зловред, лечил касперским ливом, удалял вручную, толку мало, все равно после перезагрузки размножаются в прежнем объеме. Помогите плз.
Карантин приложил:
Файл сохранён как 110407_172938_Quarantine_4d9df482a269a.zip
1. В обязательном порядке дайтке учетке административные права
2. Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\documents and settings\mtisiz\cache\igfxbm32.exe'); QuarantineFile('C:\WINDOWS\system32\16.exe',''); QuarantineFile('C:\WINDOWS\system32\17.scr',''); QuarantineFile('C:\xdx.exe',''); QuarantineFile('C:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\vcleaner.exe',''); DeleteFile('C:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\vcleaner.exe'); DeleteFile('C:\xdx.exe'); DeleteFile('C:\WINDOWS\system32\17.scr'); DeleteFile('C:\WINDOWS\system32\16.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Firewall Security Service'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Intel Backup Profiler'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Mbam поставился, но запускаться отказался, hijack при запуске ребутит комп, прикладываю логи авз и новый карантин
Файл сохранён как 110408_101759_Quarantine_4d9ee0d7dc57a.zip
Сделайте лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Комбофикс тоже вылетает в ребут. Переименовал экзешник МБАМа и получил его лог, исправлять пока ничего не стал.
После удаления всго найденного МБАМом удалось запустить Hijack и Combofix. Вот новые логи. Также прилагаю новый карантин.
Скажите хоть что-нибудь
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: Driver:: Folder:: Registry:: [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "C:\\WINDOWS\\system32\\wnpxb1.exe"=- "C:\\WINDOWS\\system32\\igfxdmv32.exe"=- "C:\\WINDOWS\\system32\\igfxdct32.exe"=- "C:\\WINDOWS\\system32\\igfxdwx32.exe"=- "C:\\WINDOWS\\system32\\igfxscr32.exe"=- "C:\\WINDOWS\\system32\\igfxdmc32.exe"=- "C:\\WINDOWS\\system32\\igfxdmt32.exe"=- "C:\\WINDOWS\\system32\\igfxper32.exe"=- "C:\\WINDOWS\\system32\\igfxdkv32.exe"=- "C:\\WINDOWS\\system32\\igfxdp32.exe"=- "C:\\WINDOWS\\system32\\igfxbm32.exe"=- [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{21fbba04-1c6d-11df-b5a6-0013d4e98e6f}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{67944176-e279-11df-b66d-0013d4e98e6f}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9244a8bd-223d-11e0-b6a8-0013d4e98e6f}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e69cc5cc-e940-11de-b575-0013d4e98e6f}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e69cc5cf-e940-11de-b575-0013d4e98e6f}] FileLook:: DirLook::
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Вроде всё так сделал. Правда он всё хочет консоль восстановления загрузить, это обязательно?
Ничего необычного. Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
в процессах по прежнему висит igfxsm32.exe и прописывает себя в автозагрузку, если зайти под администратором постоянно вылетают системные ошибки типа "rundll32.exe прекратил работу из-за ошибки", периодически самопроизвольно перезагружается, при попытке просканировать диск MBAMом комп перезагрузился, сейчас попробую сделать авз логи.
Добавлено через 2 часа 6 минут
Загрузился под ограниченной учеткой, прогнал сканирование MBAM от имени Администратора, почистил, не помогло. Запустил AVZGuard и удалил под ним процесс, все копии на диске и упоминания в реестре igfxsm32.exe. Вроде помогло.
Последний раз редактировалось aspu; 14.04.2011 в 13:39. Причина: Добавлено
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 8
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\networkservice\\local settings\\temporary internet files\\content.ie5\\f2rgkt7d\\t[1].zip - Net-Worm.Win32.Kolab.xsg ( DrWEB: BackDoor.IRC.Bot.750, BitDefender: Gen:Variant.Kazy.18229, AVAST4: Win32:Crypt-IZN [Trj] )
- c:\\documents and settings\\networkservice\\local settings\\temporary internet files\\content.ie5\\7benb9hz\\u[1].zip - Net-Worm.Win32.Kolab.xsi ( DrWEB: BackDoor.IRC.Bot.750, BitDefender: Gen:Variant.Zbot.41, AVAST4: Win32:Crypt-IZO [Trj] )
- c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\vcleaner.exe - Trojan-Downloader.Win32.Injecter.fpb ( DrWEB: Trojan.MulDrop2.10754, BitDefender: Trojan.Generic.KD.180873, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Downloader-GKY [Trj] )
- c:\\windows\\system32\\16.exe - Net-Worm.Win32.Kolab.xqc ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KD.180878, NOD32: IRC/SdBot trojan, AVAST4: Win32:FakeAlert-AFK [Trj] )
- c:\\windows\\system32\\17.scr - Trojan.Win32.VBKrypt.eebl ( DrWEB: BackDoor.IRC.Bot.743, BitDefender: Trojan.Generic.5738147, AVAST4: Win32:VB-SMH [Trj] )
- c:\\xdx.exe - Trojan-Downloader.Win32.Injecter.fpb ( DrWEB: Trojan.MulDrop2.10754, BitDefender: Trojan.Generic.KD.180873, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Downloader-GKY [Trj] )
Уважаемый(ая) aspu, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.