помогите постоянно лезут вирусы
помогите постоянно лезут вирусы
Уважаемый(ая) Darky, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
1.Профиксите в HijackThis
2. Выполните скрипт в AVZКод:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
После перезагрузки:Код:procedure WhatService(AServiceName : string); var dllname, servicekey : string; begin servicekey := 'SYSTEM\CurrentControlSet\Services\'+AServiceName; RegKeyResetSecurity( 'HKLM', servicekey); RegKeyResetSecurity( 'HKLM', servicekey+'\Parameters'); AddToLog('Description: '+RegKeyStrParamRead( 'HKLM', servicekey, 'Description')); AddToLog('DisplayName: '+RegKeyStrParamRead( 'HKLM', servicekey, 'DisplayName')); AddToLog('ImagePath: '+RegKeyStrParamRead( 'HKLM', servicekey, 'ImagePath')); dllname := RegKeyStrParamRead( 'HKLM', servicekey+'\Parameters', 'ServiceDll'); AddToLog('ServiceDll: '+dllname); QuarantineFile(dllname,''); end; begin SearchRootkit(true, true); SetAVZGuardStatus(True); WhatService('abcropa'); WhatService('abooxkfdb'); WhatService('agrkbr'); WhatService('ailclb'); WhatService('aqwgbv'); WhatService('bvkqbr'); WhatService('cgrgkd'); WhatService('cpvqxltk'); WhatService('cugnu'); WhatService('cvfrqvjas'); WhatService('dhfiiubum'); WhatService('dqjeqlhg'); WhatService('egldtnjet'); WhatService('ffufgui'); WhatService('fjprdq'); WhatService('fmbupaz'); WhatService('gohonhlw'); WhatService('gptvvv'); WhatService('grwuu'); WhatService('gwgii'); WhatService('gywlps'); WhatService('hgrlzgyp'); WhatService('hmksys'); WhatService('jcytcrif'); WhatService('jtrmyhepr'); WhatService('kboquy'); WhatService('kkvfvxn'); WhatService('knrjgzk'); WhatService('kqxilq'); WhatService('krwympdw'); WhatService('leqojc'); WhatService('lfddz'); WhatService('lwhgwnok'); WhatService('mduyhwgsa'); WhatService('mgyyfe'); WhatService('nhaux'); WhatService('pfrmryasa'); WhatService('pfwjfe'); WhatService('pqjsiai'); WhatService('qdsayuk'); WhatService('qjkzamp'); WhatService('quvdlwi'); WhatService('qwbrczsh'); WhatService('rhqjlmn'); WhatService('rrmrylo'); WhatService('swcqqm'); WhatService('ulxbqme'); WhatService('urwlce'); WhatService('wcinruof'); WhatService('wjljnelry'); WhatService('wnltryle'); WhatService('wwuhvnetl'); WhatService('xkwqchb'); WhatService('xnjvfltl'); WhatService('yesql'); WhatService('ylxsatm'); WhatService('zmcctegxu'); WhatService('znjnbrz'); WhatService('zoedw'); QuarantineFile('C:\windows\system32\75.exe',''); QuarantineFile('C:\windows\system32\10.exe',''); QuarantineFile('C:\windows\system32\07.exe',''); DeleteFile('C:\windows\system32\07.exe'); DeleteFile('C:\windows\system32\10.exe'); DeleteFile('C:\windows\system32\16.exe'); DeleteFile('C:\windows\system32\75.exe'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221); BC_Activate; SaveLog(GetAVZDirectory+'abcropa.log'); RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- файл abcropa.log прикрепите к сообщению
Обновите систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
* Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.тут
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
После обновления:
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Сделайте лог MBAM
скрипты выполнили
SP 3 не ставится почему то
- Выполните скрипт в AVZ
После перезагрузки:Код:Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean; var i : integer; KeyList : TStringList; KeyName : string; begin RegKeyResetSecurity(ARoot, AName); KeyList := TStringList.Create; RegKeyEnumKey(ARoot, AName, KeyList); for i := 0 to KeyList.Count-1 do begin KeyName := AName+'\'+KeyList[i]; RegKeyResetSecurity(ARoot, KeyName); RegKeyResetSecurityEx(ARoot, KeyName); end; KeyList.Free; end; Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte; var i : integer; KeyList : TStringList; KeyName : string; begin Result := 0; if StopService(AServiceName) then Result := Result or 1; if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2; KeyList := TStringList.Create; RegKeyEnumKey('HKLM','SYSTEM', KeyList); for i := 0 to KeyList.Count-1 do if pos('controlset', LowerCase(KeyList[i])) > 0 then begin KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName; if RegKeyExistsEx('HKLM', KeyName) then begin Result := Result or 4; RegKeyResetSecurityEx('HKLM', KeyName); RegKeyDel('HKLM', KeyName); if RegKeyExistsEx('HKLM', KeyName) then Result := Result or 8; end; end; if AIsSvcHosted then BC_DeleteSvcReg(AServiceName) else BC_DeleteSvc(AServiceName); KeyList.Free; end; begin SearchRootkit(true, true); SetAVZGuardStatus(True); BC_ServiceKill('abcropa'); BC_ServiceKill('abooxkfdb'); BC_ServiceKill('agrkbr'); BC_ServiceKill('ailclb'); BC_ServiceKill('aqwgbv'); BC_ServiceKill('bvkqbr'); BC_ServiceKill('cgrgkd'); BC_ServiceKill('cpvqxltk'); BC_ServiceKill('cugnu'); BC_ServiceKill('cvfrqvjas'); BC_ServiceKill('dhfiiubum'); BC_ServiceKill('dqjeqlhg'); BC_ServiceKill('egldtnjet'); BC_ServiceKill('ffufgui'); BC_ServiceKill('fjprdq'); BC_ServiceKill('fmbupaz'); BC_ServiceKill('gohonhlw'); BC_ServiceKill('gptvvv'); BC_ServiceKill('grwuu'); BC_ServiceKill('gwgii'); BC_ServiceKill('gywlps'); BC_ServiceKill('hgrlzgyp'); BC_ServiceKill('hmksys'); BC_ServiceKill('jcytcrif'); BC_ServiceKill('jtrmyhepr'); BC_ServiceKill('kboquy'); BC_ServiceKill('kkvfvxn'); BC_ServiceKill('knrjgzk'); BC_ServiceKill('kqxilq'); BC_ServiceKill('krwympdw'); BC_ServiceKill('leqojc'); BC_ServiceKill('lfddz'); BC_ServiceKill('lwhgwnok'); BC_ServiceKill('mduyhwgsa'); BC_ServiceKill('mgyyfe'); BC_ServiceKill('nhaux'); BC_ServiceKill('pfrmryasa'); BC_ServiceKill('pfwjfe'); BC_ServiceKill('pqjsiai'); BC_ServiceKill('qdsayuk'); BC_ServiceKill('qjkzamp'); BC_ServiceKill('quvdlwi'); BC_ServiceKill('qwbrczsh'); BC_ServiceKill('rhqjlmn'); BC_ServiceKill('rrmrylo'); BC_ServiceKill('swcqqm'); BC_ServiceKill('ulxbqme'); BC_ServiceKill('urwlce'); BC_ServiceKill('wcinruof'); BC_ServiceKill('wjljnelry'); BC_ServiceKill('wnltryle'); BC_ServiceKill('wwuhvnetl'); BC_ServiceKill('xkwqchb'); BC_ServiceKill('xnjvfltl'); BC_ServiceKill('yesql'); BC_ServiceKill('ylxsatm'); BC_ServiceKill('zmcctegxu'); BC_ServiceKill('znjnbrz'); BC_ServiceKill('zoedw'); QuarantineFile('C:\windows\aadrive32.exe',''); QuarantineFile('C:\windows\system32\dn.exe',''); QuarantineFile('C:\windows\system32\82.exe',''); QuarantineFile('C:\windows\system32\75.exe',''); QuarantineFile('C:\windows\system32\62.exe',''); QuarantineFile('C:\windows\system32\35.exe',''); QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe',''); QuarantineFile('C:\windows\winlogin.exe',''); QuarantineFile('C:\Documents and Settings\Vladimir\Application Data\Vvdfda.exe',''); QuarantineFile('c:\windows\aadrive32.exe',''); TerminateProcessByName('c:\windows\aadrive32.exe'); DeleteFile('c:\windows\aadrive32.exe'); DeleteFile('C:\Documents and Settings\Vladimir\Application Data\Vvdfda.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Vvdfda'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup'); DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe'); DeleteFile('C:\windows\system32\13.exe'); DeleteFile('C:\windows\system32\15.exe'); DeleteFile('C:\windows\system32\30.exe'); DeleteFile('C:\windows\system32\35.exe'); DeleteFile('C:\windows\system32\62.exe'); DeleteFile('C:\windows\system32\75.exe'); DeleteFile('C:\windows\system32\dn.exe'); DeleteFile('C:\windows\aadrive32.exe'); DeleteFile('C:\windows\winlogin.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman '); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- удалите в MBAM все оставшееся из этого
вот это сделайтеКод:Заражённые процессы в памяти: c:\WINDOWS\winlogin.exe (Trojan.Agent.Gen) -> 3840 -> No action taken. c:\WINDOWS\aadrive32.exe (Malware.Gen) -> 3864 -> No action taken. Заражённые ключи в реестре: HKEY_CLASSES_ROOT\CLSID\{BF56A325-23F2-42AD-F4E4-00AAC39CAA53} (Trojan.Ertfor) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{BF56A325-23F2-42AD-F4E4-00AAC39CAA53} (Trojan.Ertfor) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{BF56A325-23F2-42AD-F4E4-00AAC39CAA53} (Trojan.Ertfor) -> No action taken. HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogo2 (Trojan.Agent) -> No action taken. Заражённые параметры в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows (Trojan.Agent.Gen) -> Value: Windows -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Driver Setup (Malware.Gen) -> Value: Microsoft Driver Setup -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Microsoft Driver Setup (Malware.Gen) -> Value: Microsoft Driver Setup -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Vvdfda (Malware.Gen) -> Value: Vvdfda -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\idstrf (Malware.Trace) -> Value: idstrf -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\WINID (Malware.Trace) -> Value: WINID -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Value: option_1 -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Value: option_2 -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Value: option_3 -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Trojan.Agent) -> Value: Taskman -> No action taken. Объекты реестра заражены: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Malware.Gen) -> Bad: (c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe) Good: () -> No action taken. Заражённые папки: c:\program files\microsoft common (Trojan.Agent) -> No action taken. c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> No action taken. Заражённые файлы: c:\WINDOWS\winlogin.exe (Trojan.Agent.Gen) -> No action taken. c:\WINDOWS\aadrive32.exe (Malware.Gen) -> No action taken. c:\documents and settings\vladimir\application data\vvdfda.exe (Malware.Gen) -> No action taken. c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe (Malware.Gen) -> No action taken. c:\documents and settings\localservice\local settings\temporary internet files\Content.IE5\R1W972L7\logo[1].gif (Extension.Mismatch) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\DY8V9F1N\o[1].exe (Malware.Gen) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\KH45JBR9\ifircx[1].gif (Extension.Mismatch) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\SP634X2Z\o[1].exe (Malware.Gen) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\SP634X2Z\yxtvthr[1].bmp (Extension.Mismatch) -> No action taken. c:\documents and settings\Vladimir\dgjdd.exe (Malware.Gen) -> No action taken. c:\documents and settings\Vladimir\application data\C.tmp (Malware.Gen) -> No action taken. c:\documents and settings\Vladimir\local settings\temporary internet files\Content.IE5\WJNJNUEG\ng2[1].exe (Malware.Gen) -> No action taken. c:\WINDOWS\system32\13.exe (Malware.Gen) -> No action taken. c:\WINDOWS\system32\15.exe (Malware.Gen) -> No action taken. c:\WINDOWS\system32\21.exe (Malware.Gen) -> No action taken. c:\WINDOWS\system32\30.exe (Malware.Gen) -> No action taken. c:\WINDOWS\system32\35.exe (Malware.Gen) -> No action taken. c:\WINDOWS\system32\36.exe (Malware.Gen) -> No action taken. c:\WINDOWS\system32\62.exe (Malware.Gen) -> No action taken. c:\WINDOWS\system32\75.exe (Malware.Gen) -> No action taken. c:\WINDOWS\system32\82.exe (Malware.Gen) -> No action taken. c:\WINDOWS\system32\dn.exe (Trojan.Agent.Gen) -> No action taken. c:\program files\common files\keylog.txt (Malware.Trace) -> No action taken. c:\WINDOWS\Help\kfdtk.chm (Malware.Trace) -> No action taken. c:\WINDOWS\nigzss.txt (Malware.Trace) -> No action taken. c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Worm.AutoRun.Gen) -> No action taken.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Сделайте лог MBAM
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 151
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\dn.exe - Worm.Win32.AutoRun.cjdz ( DrWEB: BackDoor.IRC.Sdbot.15798, BitDefender: Trojan.Generic.KDV.229092, AVAST4: Win32:Kryptik-COT [Trj] )
- c:\\windows\\winlogin.exe - Worm.Win32.AutoRun.cjdz ( DrWEB: BackDoor.IRC.Sdbot.15798, BitDefender: Trojan.Generic.KDV.229092, AVAST4: Win32:Kryptik-COT [Trj] )
Уважаемый(ая) Darky, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.