Здравствуйте, пожалуйста помогите. Появился внезапно не понял где и подцепил? Удалял с помощью приложения regedit из папки Windows. Не помогло, появляется в автозагрузке. Что посоветуете?
Здравствуйте, пожалуйста помогите. Появился внезапно не понял где и подцепил? Удалял с помощью приложения regedit из папки Windows. Не помогло, появляется в автозагрузке. Что посоветуете?
Уважаемый(ая) Triforce, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте.
Посоветую сделать логи по правилам.
hedgars, HiJackThis блокирует выход. Не могу загрузить
Сделайте хотя бы логи AVZ.
Если программа не запускается или прекращает работу после запуска, скачайте переименованный файл программы HijackThis здесь и в дальнейшем используйте его. Скачал отсюда, пойдет? Извиняюсь что нуб)
Во время процесса Avira обнаружила avz_3520_raw.tmp and avm_3520_1.tmp. Ни чего с ними не делал.
Здравствуйте.
Отключите:
-Все защитные приложения
-ПК от интернета
Подключите:
-Диск Е:\
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:procedure WhatService(AServiceName : string); var dllname, servicekey : string; begin servicekey := 'SYSTEM\CurrentControlSet\Services\'+AServiceName; RegKeyResetSecurity( 'HKLM', servicekey); RegKeyResetSecurity( 'HKLM', servicekey+'\Parameters'); AddToLog('Description: '+RegKeyStrParamRead( 'HKLM', servicekey, 'Description')); AddToLog('DisplayName: '+RegKeyStrParamRead( 'HKLM', servicekey, 'DisplayName')); AddToLog('ImagePath: '+RegKeyStrParamRead( 'HKLM', servicekey, 'ImagePath')); dllname := RegKeyStrParamRead( 'HKLM', servicekey+'\Parameters', 'ServiceDll'); AddToLog('ServiceDll: '+dllname); QuarantineFile(dllname,''); end; begin SearchRootkit(true, true); SetAVZGuardStatus(true); TerminateProcessByName('c:\windows\aadrive32.exe'); QuarantineFile('C:\WINDOWS\system32\MicrSoft.exe',''); QuarantineFile('C:\WINDOWS\system32\12.exe',''); QuarantineFile('E:\AUTORUN\AutoRun',''); QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe',''); QuarantineFile('C:\WINDOWS\aadrive32.exe',''); QuarantineFile('C:\Documents and Settings\Dima\Application Data\Dgxkxn.exe',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\atapi.sys',''); DeleteFile('C:\WINDOWS\system32\MicrSoft.exe'); DeleteFile('C:\Documents and Settings\Dima\Application Data\Dgxkxn.exe'); DeleteFile('C:\WINDOWS\aadrive32.exe'); DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe'); DeleteFile('E:\AUTORUN\AutoRun'); DeleteFile('C:\WINDOWS\system32\12.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Dgxkxn'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ManualRun'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman'); WhatService('diovwx'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(9); ExecuteWizard('TSW',2,3,true); SaveLog(GetAVZDirectory+'diovwx.log'); BC_Activate; RebootWindows(true); end.
Затем выполните ещё один скрипт:
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Обновите базы AVZ (Файл->Обновление баз).
Сделайте повторные логи.
Файл diovwx.log из папки AVZ приложите к следующему сообщению.
Cделал
Отключите:
-Все защитные приложения
-ПК от интернета
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean; var i : integer; KeyList : TStringList; KeyName : string; begin RegKeyResetSecurity(ARoot, AName); KeyList := TStringList.Create; RegKeyEnumKey(ARoot, AName, KeyList); for i := 0 to KeyList.Count-1 do begin KeyName := AName+'\'+KeyList[i]; RegKeyResetSecurity(ARoot, KeyName); RegKeyResetSecurityEx(ARoot, KeyName); end; KeyList.Free; end; Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte; var i : integer; KeyList : TStringList; KeyName : string; begin Result := 0; if StopService(AServiceName) then Result := Result or 1; if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2; KeyList := TStringList.Create; RegKeyEnumKey('HKLM','SYSTEM', KeyList); for i := 0 to KeyList.Count-1 do if pos('controlset', LowerCase(KeyList[i])) > 0 then begin KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName; if RegKeyExistsEx('HKLM', KeyName) then begin Result := Result or 4; RegKeyResetSecurityEx('HKLM', KeyName); RegKeyDel('HKLM', KeyName); if RegKeyExistsEx('HKLM', KeyName) then Result := Result or 8; end; end; if AIsSvcHosted then BC_DeleteSvcReg(AServiceName) else BC_DeleteSvc(AServiceName); KeyList.Free; end; begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\40.exe',''); QuarantineFile('C:\WINDOWS\system32\38.exe',''); DeleteFile('C:\WINDOWS\system32\qsuszum.dll'); DeleteFile('C:\WINDOWS\system32\38.exe'); DeleteFile('C:\WINDOWS\system32\40.exe'); BC_ImportAll; ExecuteSysClean; BC_ServiceKill('diovwx'); ExecuteWizard('TSW',2,3,true); BC_Activate; RebootWindows(true); end.
Затем выполните ещё один скрипт:
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Сделайте повторные логи.
Выполнил
Чисто.
Что с проблемой?
Установите:
-Service Pack 3 (может потребоваться активация, перед установкой выгрузите все приложения) + все обновления отсюда.
-Internet Explorer 8.
Откройте файл ScanVuln.txt и выполните его как скрипт в AVZ. По окончанию проверки в папке AVZ образуется файл avz_log.txt. Откройте его и скачайте программы по ссылкам, которые там указаны. Затем перезагрузите Ваш ПК и выполните скрипт повторно, дабы убедится, что уязвимости устранены.
В принципе все работает как раньше, в смысле нормально. Только Авира периодически выбивает был обнаружен вирус или вредоносная программа 'TR/Crypt.XPACK.Gen2' [trojan]. и C:\Documents and Settings\Dima\Local Settings\Temporary Internet Files\Content.IE5\LL0C0TUV\w[1].exe'
был обнаружен вирус или вредоносная программа 'TR/Crypt.XPACK.Gen2' [trojan], не может это быть остатки вируса. Обязательно устанавливать СП3? Можно просто обновления, и выполнить ScanVuln.txt скрипт?
Обязательно.
Сделайте лог MBAM.
Все сделал. Жду дальнейшых инструкций. По поводу Malwarebytes Antimalware, можно ей поудалять и потом удалить?
Удалите в МВАМ все найденное
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Все проблема решена. Огромное Вам всем спасибо, помогли в кротчайшие строки. Желаю вам дальнейшего развития, вы действительно делаете хорошее дело. И ище раз спасибо.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 27
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\dima\\application data\\dgxkxn.exe - Trojan.Win32.Menti.jew ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Generic.7004699, NOD32: Win32/Dorkbot.A worm, AVAST4: Win32:Malware-gen )
- c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\acleaner.exe - Trojan.Win32.Agent.hurx ( DrWEB: Trojan.Inject.44780, BitDefender: Trojan.Generic.KD.236026, AVAST4: Win32:Dorkbot [Wrm] )
- c:\\windows\\aadrive32.exe - Packed.Win32.TDSS.c ( DrWEB: Trojan.Inject.44780, BitDefender: Trojan.Generic.KD.236026, NOD32: IRC/SdBot trojan, AVAST4: Win32:Dorkbot [Wrm] )
- c:\\windows\\system32\\12.exe - Trojan.Win32.Agent.hurx ( DrWEB: Trojan.Inject.44780, BitDefender: Trojan.Generic.KD.236026, AVAST4: Win32:Dorkbot [Wrm] )
- c:\\windows\\system32\\38.exe - Trojan.Win32.Agent.hurx ( DrWEB: Trojan.Inject.44780, BitDefender: Trojan.Generic.KD.236026, AVAST4: Win32:Dorkbot [Wrm] )
- c:\\windows\\system32\\40.exe - Trojan.Win32.Agent.hurx ( DrWEB: Trojan.Inject.44780, BitDefender: Trojan.Generic.KD.236026, AVAST4: Win32:Dorkbot [Wrm] )
Уважаемый(ая) Triforce, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.