Junior Member
Вес репутации
47
ПОМОГИТЕ!!! вирус из КОНТАКТА "переводящий" антивирус в "усиленный режим"
После прохождения по ссылке 93.78.114.14 из сообщения вконтакте, скачал якобы flash player, открыл файл, после чего компьютер перезагрузился и вошёл автоматически в безопасный режим, потом опять перезагрузился и вошёл уже в нормальный режим, заметил, что из program files исчез антивирус, а его значок в трее был заменен на фейковый, после нажатия на который появлялось сообщение: Avast работает в усиленном режиме.... от вас не требуется никаких действий.
Выполнял полную проверку компьютера утилитой DrWeb, что не дало никаких существенных результатов, кроме как удаления троянов.
Спасибо.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) andrey112 , спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект .
andrey112 , здравствуйте.
1. Закройте все открытые приложения (программы), кроме АVZ и браузера (Mozilla Firefox, Opera, Google Chrome, Internet Explorer).
Отключите:
- ПК от интернета/локальной сети;
- Обязательно!!! Отключить системное восстановление!!! как - посмотреть можно здесь (по окончанию лечения включите);
- Выгрузите антивирус и/или Файрвол;
- Пофиксите в HJT :
Код:
O4 - HKLM\..\Run: [wxpdrv] C:\WINDOWS\services32.exe
O4 - HKLM\..\Run: [tray_ico0] C:\WINDOWS\update.tray-7-0\svchost.exe
O4 - HKLM\..\Run: [57791.exe] "C:\DOCUME~1\АНДРЕЙ\LOCALS~1\Temp\57791.exe"
O4 - HKLM\..\Run: [sysdriver32.exe] "C:\WINDOWS\sysdriver32.exe" rezerv
O4 - HKLM\..\Run: [sysdriver32_.exe] "C:\WINDOWS\sysdriver32_.exe" rezerv
O4 - HKLM\..\Run: [5195389.exe] "C:\DOCUME~1\АНДРЕЙ\LOCALS~1\Temp\5195389.exe"
O4 - HKLM\..\Run: [3219997.exe] "C:\DOCUME~1\АНДРЕЙ\LOCALS~1\Temp\3219997.exe"
O4 - HKLM\..\Run: [4741885.exe] "C:\WINDOWS\TEMP\4741885.exe"
- Выполните скрипт в AVZ ("Файл - Выполнить скрипт" или в англ.версии "File - Custom scripts"). Скопируйте текст кода и вставьте в окно, нажмите "Выполнить (Run)":
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\update.1\svchost.exe');
TerminateProcessByName('c:\windows\services32.exe');
SetServiceStart('wxpdrivers', 4);
StopService('wxpdrivers');
QuarantineFile('C:\WINDOWS\system32\drivers\FDCANT.SYS','');
QuarantineFile('services32.exe','');
QuarantineFile('C:\WINDOWS\update.tray-7-0\svchost.exe','');
QuarantineFile('C:\WINDOWS\sysdriver32_.exe','');
QuarantineFile('C:\WINDOWS\sysdriver32.exe','');
QuarantineFile('C:\WINDOWS\TEMP\4741885.exe','');
QuarantineFile('C:\DOCUME~1\АНДРЕЙ\LOCALS~1\Temp\57791.exe','');
QuarantineFile('C:\DOCUME~1\АНДРЕЙ\LOCALS~1\Temp\5195389.exe','');
QuarantineFile('C:\DOCUME~1\АНДРЕЙ\LOCALS~1\Temp\3219997.exe','');
QuarantineFile('C:\WINDOWS\update.1\svchost.exe','');
QuarantineFile('c:\windows\services32.exe','');
DeleteFile('C:\WINDOWS\update.1\svchost.exe');
DeleteFile('C:\DOCUME~1\АНДРЕЙ\LOCALS~1\Temp\3219997.exe');
DeleteFile('C:\DOCUME~1\АНДРЕЙ\LOCALS~1\Temp\5195389.exe');
DeleteFile('C:\DOCUME~1\АНДРЕЙ\LOCALS~1\Temp\57791.exe');
DeleteFile('C:\WINDOWS\TEMP\4741885.exe');
DeleteFile('C:\WINDOWS\services32.exe');
DeleteFile('C:\WINDOWS\sysdriver32.exe');
DeleteFile('C:\WINDOWS\sysdriver32_.exe');
DeleteFile('C:\WINDOWS\update.tray-7-0\svchost.exe');
DeleteFile('services32.exe');
DeleteService('wxpdrivers');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',2,3,true);
ExecuteWizard('SCU',2,2,true);
RebootWindows(true);
end.
Компьютер перезагрузится.
2. После перезагрузки выполните такой скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
3. Файл quarantine.zip из корня папки AVZ загрузите по ссылке "Прислать запрошенный карантин " вверху темы;
4. Сделайте повторные логи по правилам п.2 и п.3 раздела "Диагностика " (virusinfo_syscheck.zip; hijackthis.log).
[RIGHT][URL="http://z-oleg.com/avz4.zip"]AVZ[/URL] [URL="http://go.trendmicro.com/free-tools/hijackthis/HiJackThis.exe"]HijackThis[/URL] [URL="http://virusinfo.info/pravila.html"]Правила раздела "Помогите!"[/URL][/RIGHT]
[RIGHT][URL="http://virusinfo.info/forumdisplay.php?f=70"]ЧаВО[/URL] [URL="http://fileforum.betanews.com/download/Malwarebytes-AntiMalware/1186760019/1"]Malwarebyte's AntiMalware[/URL][/RIGHT]
[RIGHT][URL="http://z-oleg.com/secur/avz_up/avzbase.zip"]Актуальные базы АВЗ[/URL][/RIGHT]
Junior Member
Вес репутации
47
LOGи
Сделал все как Вы сказали, вот новые LOGи.
Спасибо.
Пофиксите в HijackThis:
Код:
R3 - URLSearchHook: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll (file missing)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll (file missing)
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
O3 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll (file missing)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [658689.exe] "C:\DOCUME~1\АНДРЕЙ\LOCALS~1\Temp\658689.exe"
Больше ничего плохого не видно.
Рекомендуется установить SP3 и последующие обновления.
(Может потребоваться повторная активация Windows).
I am not young enough to know everything...
На всякий случай
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
47
Большое спасибо за помощь, удалось установить антивирус, пока ничего подозрительного не замечаю...
по рекомендации обновил sp2 до sp3 скачав обновление с сайта майкрософт, после установки потребовал активации windows не пуская дальше выбора пользователя, попытался решить эту проблему зайдя через безопасный режим и запустив кряк от sp2, сейчас загружается нормальный режим НО вылазит сообщение: Windows-Диск отсутствует. В устройстве нет диска. Вставьте диск в устройство А.
что посоветуете сделать?
Junior Member
Вес репутации
47
LOG полного сканирования в MBAM.
Спасибо.
Удалите в МВАМ только указанные строки
Код:
Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\CLSID\{6D125299-C2A9-4DBC-BEC3-6F7124E39A41} (Adware.FieryAds) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6D125299-C2A9-4DBC-BEC3-6F7124E39A41} (Adware.FieryAds) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wxpdrivers (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\wxpdrivers (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SRVSYSDRIVER32 (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055FD26D-3A88-4e15-963D-DC8493744B1D} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{055FD26D-3A88-4e15-963D-DC8493744B1D} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{77D6DDFA-7834-4541-B2B3-A8B0FB0E3924} (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\XTTB00001.XTTB00001Toolbar (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\ToolBand.XTTBPos00.1 (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\ToolBand.XTTBPos00 (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{055FD26D-3A88-4E15-963D-DC8493744B1D} (Trojan.BHO) -> No action taken.
Зараженные папки:
c:\documents and settings\Андрей\application data\FieryAds (Adware.FieryAds) -> No action taken.
Зараженные файлы:
c:\documents and settings\андрей\doctorweb\quarantine\3492325.exe (Spyware.Password) -> No action taken.
c:\documents and settings\андрей\doctorweb\quarantine\6237802.exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\андрей\doctorweb\quarantine\systemup.exe (Spyware.Password) -> No action taken.
c:\documents and settings\андрей\doctorweb\quarantine\l1rezerv.exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\Андрей\application data\fieryads.dat (Adware.FieryAds) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
47
Удалил указанные строки в MBAM.
По-прежнему после перезагрузки выходит сообщение: Windows-Диск отсутствует. В устройстве нет диска. Вставьте диск в устройство А.
Спасибо.
Paula rhei.
Поддержать проект можно тут
Сообщение от
andrey112
По-прежнему после перезагрузки выходит сообщение: Windows-Диск отсутствует. В устройстве нет диска. Вставьте диск в устройство А.
Выполните скрипт в AVZ:
Код:
begin
DeleteFileMask( 'C:\Documents and Settings\АНДРЕЙ\Recent', '*.lnk',false);
ExecuteRepair(19);
RebootWindows(true);
end.
Компьютер перезагрузится.
Если не поможет - отключите совсем флоппи-дисковод, Вы ведь не собираетесь его использовать?
I am not young enough to know everything...
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 28 В ходе лечения обнаружены вредоносные программы:
c:\\docume~1\\андрей\\locals~1\\temp\\3219997.exe - Trojan.Win32.Scar.dzbi ( DrWEB: BackDoor.Siggen.30581, BitDefender: Trojan.Agent.ASEX, NOD32: Win32/TrojanDownloader.Delf.QCY trojan, AVAST4: Win32:Delf-QBF [Trj] ) c:\\docume~1\\андрей\\locals~1\\temp\\5195389.exe - Trojan.Win32.Scar.dzbi ( DrWEB: BackDoor.Siggen.30581, BitDefender: Trojan.Agent.ASEX, NOD32: Win32/TrojanDownloader.Delf.QCY trojan, AVAST4: Win32:Delf-QBF [Trj] ) c:\\windows\\services32.exe - Trojan.Win32.Menti.ihhj ( DrWEB: Trojan.VkBase.36, BitDefender: Application.Generic.365002, NOD32: Win32/Delf.QCZ trojan, AVAST4: Win32:Delf-PPB [Trj] ) c:\\windows\\temp\\4741885.exe - Trojan.Win32.Scar.dzbi ( DrWEB: BackDoor.Siggen.30581, BitDefender: Trojan.Agent.ASEX, NOD32: Win32/TrojanDownloader.Delf.QCY trojan, AVAST4: Win32:Delf-QBF [Trj] )