Помогите излечиться, вирус скрывает папки, делает ярлыки их с путем запуска вируса!
Помогите излечиться, вирус скрывает папки, делает ярлыки их с путем запуска вируса!
Уважаемый(ая) siv21102, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Установите все обновления безопасности, вышедшие после Service Pack 3:
http://windowsupdate.microsoft.com/
Выполните скрипт в AVZ (как выполнить):
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\aadrive32.exe'); QuarantineFile('C:\Documents and Settings\Администратор\serv.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\pfs.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\ms.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\hddd.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\djd.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\bn.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\bnet.exe',''); QuarantineFile('C:\WINDOWS\system32\61.exe',''); QuarantineFile('C:\WINDOWS\system32\22.exe',''); QuarantineFile('C:\WINDOWS\system32\00.exe',''); QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe',''); QuarantineFile('C:\WINDOWS\aadrive32.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0543359110-2143439226-823143463-3020\csisf.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1417\systm.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\Application Data\bowcav.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe,C:\RECYCLER\S-1-5-21-7282656561-6370246831-053998968-7806\winmap.exe,C:\RECYCLER\S-1-5-21-1284913896-5755593003-857191488-3978\winmap.exe,C:\RECYCLER\S-1-5-21-7381379535-2602855335-696786892-3510\winmap.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1417\systm.exe,C:\RECYCLER\S-1-5-21-5613309223-0492041955-364057421-3961\winmap.exe,C:\RECYCLER\S-1-5-21-2879842076-0229803703-611905757-8116\winmap.exe,C:\RECYCLER\S-1-5-21-5711662043-0114306750-122222562-1699\winmap.exe,explorer.exe,C:\Documents and Settings\Администратор\Application Data\oekx.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Thdgdz.exe',''); QuarantineFile('c:\vkontaktedj\vkontaktedj.exe',''); QuarantineFile('e:\autorun.exe',''); QuarantineFile('c:\windows\aadrive32.exe',''); DeleteFile('c:\windows\aadrive32.exe'); DeleteFile('C:\Documents and Settings\Администратор\Application Data\Thdgdz.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Thdgdz'); DeleteFile('C:\Documents and Settings\Администратор\Application Data\bowcav.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe,C:\RECYCLER\S-1-5-21-7282656561-6370246831-053998968-7806\winmap.exe,C:\RECYCLER\S-1-5-21-1284913896-5755593003-857191488-3978\winmap.exe,C:\RECYCLER\S-1-5-21-7381379535-2602855335-696786892-3510\winmap.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1417\systm.exe,C:\RECYCLER\S-1-5-21-5613309223-0492041955-364057421-3961\winmap.exe,C:\RECYCLER\S-1-5-21-2879842076-0229803703-611905757-8116\winmap.exe,C:\RECYCLER\S-1-5-21-5711662043-0114306750-122222562-1699\winmap.exe,explorer.exe,C:\Documents and Settings\Администратор\Application Data\oekx.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1417\systm.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnawy'); DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P'); DeleteFile('C:\RECYCLER\S-1-5-21-0543359110-2143439226-823143463-3020\csisf.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Shell'); DeleteFile('C:\WINDOWS\aadrive32.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup'); DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe'); DeleteFile('C:\WINDOWS\system32\00.exe'); DeleteFile('C:\WINDOWS\system32\01.exe'); DeleteFile('C:\WINDOWS\system32\02.exe'); DeleteFile('C:\WINDOWS\system32\03.exe'); DeleteFile('C:\WINDOWS\system32\04.exe'); DeleteFile('C:\WINDOWS\system32\05.exe'); DeleteFile('C:\WINDOWS\system32\06.exe'); DeleteFile('C:\WINDOWS\system32\07.exe'); DeleteFile('C:\WINDOWS\system32\08.exe'); DeleteFile('C:\WINDOWS\system32\10.exe'); DeleteFile('C:\WINDOWS\system32\11.exe'); DeleteFile('C:\WINDOWS\system32\12.exe'); DeleteFile('C:\WINDOWS\system32\13.exe'); DeleteFile('C:\WINDOWS\system32\14.exe'); DeleteFile('C:\WINDOWS\system32\15.exe'); DeleteFile('C:\WINDOWS\system32\16.exe'); DeleteFile('C:\WINDOWS\system32\17.exe'); DeleteFile('C:\WINDOWS\system32\18.exe'); DeleteFile('C:\WINDOWS\system32\20.exe'); DeleteFile('C:\WINDOWS\system32\21.exe'); DeleteFile('C:\WINDOWS\system32\22.exe'); DeleteFile('C:\WINDOWS\system32\23.exe'); DeleteFile('C:\WINDOWS\system32\24.exe'); DeleteFile('C:\WINDOWS\system32\25.exe'); DeleteFile('C:\WINDOWS\system32\26.exe'); DeleteFile('C:\WINDOWS\system32\28.exe'); DeleteFile('C:\WINDOWS\system32\30.exe'); DeleteFile('C:\WINDOWS\system32\31.exe'); DeleteFile('C:\WINDOWS\system32\32.exe'); DeleteFile('C:\WINDOWS\system32\33.exe'); DeleteFile('C:\WINDOWS\system32\34.exe'); DeleteFile('C:\WINDOWS\system32\35.exe'); DeleteFile('C:\WINDOWS\system32\36.exe'); DeleteFile('C:\WINDOWS\system32\37.exe'); DeleteFile('C:\WINDOWS\system32\38.exe'); DeleteFile('C:\WINDOWS\system32\40.exe'); DeleteFile('C:\WINDOWS\system32\41.exe'); DeleteFile('C:\WINDOWS\system32\42.exe'); DeleteFile('C:\WINDOWS\system32\43.exe'); DeleteFile('C:\WINDOWS\system32\44.exe'); DeleteFile('C:\WINDOWS\system32\45.exe'); DeleteFile('C:\WINDOWS\system32\46.exe'); DeleteFile('C:\WINDOWS\system32\47.exe'); DeleteFile('C:\WINDOWS\system32\48.exe'); DeleteFile('C:\WINDOWS\system32\50.exe'); DeleteFile('C:\WINDOWS\system32\51.exe'); DeleteFile('C:\WINDOWS\system32\52.exe'); DeleteFile('C:\WINDOWS\system32\53.exe'); DeleteFile('C:\WINDOWS\system32\54.exe'); DeleteFile('C:\WINDOWS\system32\55.exe'); DeleteFile('C:\WINDOWS\system32\56.exe'); DeleteFile('C:\WINDOWS\system32\57.exe'); DeleteFile('C:\WINDOWS\system32\58.exe'); DeleteFile('C:\WINDOWS\system32\60.exe'); DeleteFile('C:\WINDOWS\system32\61.exe'); DeleteFile('C:\WINDOWS\system32\62.exe'); DeleteFile('C:\WINDOWS\system32\63.exe'); DeleteFile('C:\WINDOWS\system32\64.exe'); DeleteFile('C:\WINDOWS\system32\65.exe'); DeleteFile('C:\WINDOWS\system32\66.exe'); DeleteFile('C:\WINDOWS\system32\67.exe'); DeleteFile('C:\WINDOWS\system32\68.exe'); DeleteFile('C:\WINDOWS\system32\70.exe'); DeleteFile('C:\WINDOWS\system32\71.exe'); DeleteFile('C:\WINDOWS\system32\72.exe'); DeleteFile('C:\WINDOWS\system32\73.exe'); DeleteFile('C:\WINDOWS\system32\74.exe'); DeleteFile('C:\WINDOWS\system32\75.exe'); DeleteFile('C:\WINDOWS\system32\76.exe'); DeleteFile('C:\WINDOWS\system32\77.exe'); DeleteFile('C:\WINDOWS\system32\78.exe'); DeleteFile('C:\WINDOWS\system32\80.exe'); DeleteFile('C:\WINDOWS\system32\81.exe'); DeleteFile('C:\WINDOWS\system32\82.exe'); DeleteFile('C:\WINDOWS\system32\84.exe'); DeleteFile('C:\WINDOWS\system32\85.exe'); DeleteFile('C:\WINDOWS\system32\86.exe'); DeleteFile('C:\WINDOWS\system32\87.exe'); DeleteFile('C:\WINDOWS\system32\88.exe'); DeleteFile('C:\Documents and Settings\Администратор\bnet.exe'); DeleteFile('C:\Documents and Settings\Администратор\bn.exe'); DeleteFile('C:\Documents and Settings\Администратор\djd.exe'); DeleteFile('C:\Documents and Settings\Администратор\hddd.exe'); DeleteFile('C:\Documents and Settings\Администратор\ms.exe'); DeleteFile('C:\Documents and Settings\Администратор\pfs.exe'); DeleteFile('C:\Documents and Settings\Администратор\serv.exe'); ExecuteWizard('SCU', 2, 2, true); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); BC_Activate; RebootWindows(true); end.
После перезагрузки выполните скрипт в AVZ:
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".Код:begin CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end.
Повторите пункт "Диагностика" правил и приложите получившиеся логи в теме.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Карантин не получается, просканировал малваре и снова сделал 2 стандартный скрипт
Пофиксите в HijackThis:
В остальном чисто.Код:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk O4 - HKCU\..\Run: [PCHDPlayer] C:\Program Files\pchd\PCHDPlayer.exe
Что с проблемой?
I am not young enough to know everything...
походу он рождается откудато, т.к. малваре снова показала те файлы которые мы удаляли, и еще когда малваре загружена на мониторирнг системы она постоянно сообщает о предотвращении попытки обращения на зараженный сайт, пишет айпи адрес. Еще проблема : не могу переустановить Eset, пишет нет прав на внесения изменений в значения реестра Windows! И самая большая проблема не могу запустить программу бэбиСмета, ругается на то что не возможно подключится к Interbase серверу Конечный компьютер отклонил запрос на подключение (запуск производится локально) BDE переустановил - не помогло
Установите все обновления безопасности, вышедшие после Service Pack 3:
http://windowsupdate.microsoft.com/
Обновите Internet Explorer до актуальной версии (даже если не используете):
http://windows.microsoft.com/ru-RU/i...r/downloads/ie
Выполните скрипт в AVZ отсюда:
http://dataforce.ru/~kad/ScanVuln.txt
Файл avz_log.txt из папки AVZ\LOG приложите в теме.
Пройдите по всем ссылкам (http:...) в avz_log.txt и установите указанные там обновления.
Выполните еще раз скрипт в http://dataforce.ru/~kad/ScanVuln.txt и убедитесь, что обновления установились.
Повторите лог virusinfo_syscheck.zip и приложите в теме.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Что-то я не пойму...
Из лога HijackThis:
Из лога MBAM:Scan saved at 21:44:34, on 25.06.2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
Т.е. вчера был 3-й пак, а сегодня 2-й - вы ничего не напутали?Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180
26.06.2011 12:12:09
Это принципиально важно, т.к. ваша заразка - червь, и система с SP2 перед ним беззащитна. Необходимо ставить SP3 и последующие обновления безопасности, иначе лечиться будете бесконечно.
I am not young enough to know everything...
Уважаемый(ая) siv21102, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.