Доброго времени суток! В процессах висит aadrive32.exe, в папке system32 появились 00.exe, 13.exe и подобные. Подключение к интернету есть, но при статичном ip-адресе старицы не загружаются, только при динамическом. Помогите, пожалуйста.
Доброго времени суток! В процессах висит aadrive32.exe, в папке system32 появились 00.exe, 13.exe и подобные. Подключение к интернету есть, но при статичном ip-адресе старицы не загружаются, только при динамическом. Помогите, пожалуйста.
Уважаемый(ая) Leta, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\60.exe',''); QuarantineFile('C:\WINDOWS\system32\25.exe',''); QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe',''); QuarantineFile('C:\Documents and Settings\Admin\Application Data\Axriri.exe',''); TerminateProcessByName('c:\windows\aadrive32.exe'); QuarantineFile('c:\windows\aadrive32.exe',''); TerminateProcessByName('c:\documents and settings\admin\application data\3.tmp'); QuarantineFile('c:\documents and settings\admin\application data\3.tmp',''); TerminateProcessByName('c:\documents and settings\admin\application data\2.tmp'); QuarantineFile('c:\documents and settings\admin\application data\2.tmp',''); DeleteFile('c:\documents and settings\admin\application data\2.tmp'); DeleteFile('c:\documents and settings\admin\application data\3.tmp'); DeleteFile('c:\windows\aadrive32.exe'); DeleteFile('C:\Documents and Settings\Admin\Application Data\Axriri.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Axriri'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww'); DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup'); DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe'); DeleteFile('C:\WINDOWS\system32\25.exe'); DeleteFile('C:\WINDOWS\system32\60.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Установите все новые обновления для Windows
Установите Internet Explorer 8 (даже если им не пользуетесь)
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Карантин отправила, обновления поставила, логи прилагаю
Удалите в МВАМ только указанные строкиКод:Заражённые процессы в памяти: c:\documents and settings\Admin\application data\25.tmp (Trojan.FakeMS) -> 2472 -> No action taken. c:\documents and settings\Admin\application data\27.tmp (Trojan.FakeMS) -> 772 -> No action taken. c:\WINDOWS\system32\bsysmgr.exe (Worm.Palevo.XGen) -> 2912 -> No action taken. c:\WINDOWS\jodrive32.exe (Worm.Palevo) -> 2096 -> No action taken. Заражённые параметры в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bsysmgr (Worm.Palevo.XGen) -> Value: bsysmgr -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\12CFG214-K641-12SF-N85P (Trojan.FakeMS) -> Value: 12CFG214-K641-12SF-N85P -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Tnaww (Trojan.FakeMS) -> Value: Tnaww -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Driver Setup (Backdoor.IRCBot) -> Value: Microsoft Driver Setup -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Microsoft Driver Setup (Backdoor.IRCBot) -> Value: Microsoft Driver Setup -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Config Setup (Worm.Palevo) -> Value: Microsoft Config Setup -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Microsoft Config Setup (Worm.Palevo) -> Value: Microsoft Config Setup -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Worm.AutoRun) -> Value: Shell -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Trojan.Agent) -> Value: Taskman -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ac32 (Trojan.Agent) -> Value: ac32 -> No action taken. Объекты реестра заражены: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Trojan.FakeMS) -> Bad: (C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe) Good: () -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe,Explorer.exe) Good: (Explorer.exe) -> No action taken. Заражённые папки: c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> No action taken. c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413 (Worm.AutoRun) -> No action taken. c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> No action taken. Заражённые файлы: c:\documents and settings\Admin\application data\25.tmp (Trojan.FakeMS) -> No action taken. c:\documents and settings\Admin\application data\27.tmp (Trojan.FakeMS) -> No action taken. c:\WINDOWS\system32\bsysmgr.exe (Worm.Palevo.XGen) -> No action taken. c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe (Trojan.FakeMS) -> No action taken. c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413\syitm.exe (Trojan.FakeMS) -> No action taken. c:\documents and settings\Admin\application data\5.tmp (Trojan.FakeMS) -> No action taken. c:\documents and settings\Admin\application data\1.tmp (Trojan.Agent.Gen) -> No action taken. c:\documents and settings\Admin\application data\10.tmp (Trojan.Agent.Gen) -> No action taken. c:\documents and settings\Admin\application data\11.tmp (Trojan.FakeMS) -> No action taken. c:\documents and settings\Admin\application data\12.tmp (Trojan.FakeMS) -> No action taken. c:\documents and settings\Admin\application data\14.tmp (Trojan.FakeMS) -> No action taken. c:\documents and settings\Admin\application data\16.tmp (Trojan.FakeMS) -> No action taken. c:\documents and settings\Admin\application data\1A.tmp (Trojan.FakeMS) -> No action taken. c:\documents and settings\Admin\application data\1C.tmp (Trojan.FakeMS) -> No action taken. c:\documents and settings\Admin\application data\21.tmp (Heuristics.Shuriken) -> No action taken. c:\documents and settings\Admin\application data\22.tmp (Trojan.FakeMS) -> No action taken. c:\documents and settings\Admin\application data\28.tmp (Trojan.FakeMS) -> No action taken. c:\documents and settings\Admin\application data\3.tmp (Trojan.FakeMS) -> No action taken. c:\documents and settings\Admin\application data\4.tmp (Trojan.Agent.Gen) -> No action taken. c:\documents and settings\Admin\application data\6.tmp (Trojan.Agent.Gen) -> No action taken. c:\documents and settings\Admin\application data\7.tmp (Trojan.FakeMS) -> No action taken. c:\documents and settings\Admin\application data\8.tmp (Heuristics.Shuriken) -> No action taken. c:\documents and settings\Admin\application data\9.tmp (Trojan.FakeMS) -> No action taken. c:\documents and settings\Admin\application data\A.tmp (Heuristics.Shuriken) -> No action taken. c:\documents and settings\Admin\application data\B.tmp (Trojan.FakeMS) -> No action taken. c:\documents and settings\Admin\application data\C.tmp (Heuristics.Shuriken) -> No action taken. c:\documents and settings\Admin\application data\D.tmp (Trojan.FakeMS) -> No action taken. c:\documents and settings\Admin\application data\E.tmp (Heuristics.Shuriken) -> No action taken. c:\documents and settings\Admin\application data\F.tmp (Trojan.FakeMS) -> No action taken. c:\documents and settings\Admin\doctorweb\quarantine\aadrive32.exe (Trojan.Agent.Gen) -> No action taken. c:\documents and settings\Admin\doctorweb\quarantine\axriri.exe (Trojan.Agent.Gen) -> No action taken. c:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\4LON3W6N\xxxxexi[1].exe (Worm.Palevo.XGen) -> No action taken. c:\documents and settings\Admin\рабочий стол\avz4\Infected\2011-06-04\avz00001.dta (Worm.Conficker) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\2CWIU3XV\l[1].exe (Trojan.Downloader) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\2CWIU3XV\l[2].exe (Trojan.Downloader) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\4LON3W6N\l[1].exe (Trojan.Downloader) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\7ZTPH3VM\bqcqg[1].gif (Extension.Mismatch) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\7ZTPH3VM\l[1].exe (Trojan.Downloader) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\7ZTPH3VM\l[2].exe (Trojan.Downloader) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\7ZTPH3VM\l[3].exe (Trojan.Downloader) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\MAENNJAF\l[1].exe (Trojan.Downloader) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\MAENNJAF\l[2].exe (Trojan.Downloader) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\MAENNJAF\l[3].exe (Trojan.Downloader) -> No action taken. c:\WINDOWS\system32\00.exe (Trojan.Downloader) -> No action taken. c:\WINDOWS\system32\87.exe (Trojan.Downloader) -> No action taken. e:\RECYCLER\e5188982.exe (Trojan.Agent.Gen) -> No action taken. e:\RECYCLER\s-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx (Worm.Conficker) -> No action taken. c:\WINDOWS\aadrive32.exe (Backdoor.IRCBot) -> No action taken. c:\WINDOWS\jodrive32.exe (Worm.Palevo) -> No action taken. c:\WINDOWS\system32\ac32.exe (Trojan.Agent) -> No action taken. c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811\Desktop.ini (Trojan.Agent) -> No action taken. c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413\Desktop.ini (Worm.AutoRun) -> No action taken. c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe (Worm.AutoRun.Gen) -> No action taken. c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Worm.AutoRun.Gen) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Лог после удаления
Почему не удалили?
Код:Заражённые процессы в памяти: c:\WINDOWS\jodrive32.exe (Worm.Palevo) -> 2712 -> Unloaded process successfully. c:\WINDOWS\system32\ac32.exe (Trojan.Agent) -> 5208 -> Not selected for removal. c:\WINDOWS\system32\bsysmgr.exe (Worm.Palevo.XGen) -> 1520 -> Unloaded process successfully. c:\documents and settings\Admin\application data\36.tmp (Trojan.FakeMS) -> 2676 -> Not selected for removal. c:\documents and settings\Admin\application data\37.tmp (Trojan.FakeMS) -> 3432 -> Not selected for removal. c:\documents and settings\Admin\application data\39.tmp (Trojan.FakeMS) -> 3956 -> Not selected for removal.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Удаляю. Вылезает окно с сообщением, что некоторые файлы невозможно удалить
Вы установили все обновления для системы? Непохоже
Удалите в МВАМ все, кромеКод:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Снова установила обновления, одного пакета действительно не доставало. Удалила все, что вы сказали, но снова вылезло окно с сообщением о невозможности удаления некоторых объектов.
Перезагрузитесь и сделайте новый лог МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Сделано
Сделайте лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Сделано
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: Driver:: tokwd NetSvc:: tokwd Folder:: Registry:: FileLook:: DirLook::
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Сделано
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: C:\ac32.exe C:\Gzriro.exe Driver:: tokwd NetSvc:: tokwd Folder:: Registry:: FileLook:: DirLook::
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Сделано
Плохого не видно. Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
В папке WINDOWS остались d139.exe, d233.exe, PEV.exe, SWSC.exe, SWREG.exe, SWXCACLS.exe. В процессах ничего лишнего больше нет. Но браузеры открывают стриницы только при динамическом IP.
Уважаемый(ая) Leta, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.