Приветствую!
Что имеется:
1. Свежую ОС Win XP SP3
2. Антивирус ESET NOD 32
3. Всё требуемое из раздела "Правила! Читать перед запросом о помощи!"
Причины обращения:
Словил неприятную гадость, не отлавливаемую NOD'ом, обнаруживаемую AVZ, но не избавляющую от этой заразы. Беглый осмотр реестра показал, что в путях HKEY_LOCAL_MACHINE и HKEY_CURRENT_USER прописывается постаянная гадость в виде aadrive32.exe, syitm.exe, acleaner.exe и ecleaner.exe. "Ручками" это дело убить не удаётся. Весь этот букет переодически вызывает в ОС страшные глюки с папками, некоторыми программами. При этом, падает интернет. Иногда зараза сопровождается сообщением об ошибке generic host process for win32 services. Почти всегда при новом старте ОС вылетает и не включается NOD.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\aadrive32.exe');
TerminateProcessByName('C:\Documents and Settings\Grok\Application Data\5C.tmp');
TerminateProcessByName('C:\Documents and Settings\Grok\Application Data\5E.tmp');
TerminateProcessByName('c:\windows\aadrive32.exe');
QuarantineFile('C:\Documents and Settings\Grok\Application Data\5E.tmp','');
QuarantineFile('C:\WINDOWS\system32\21.exe','');
QuarantineFile('C:\Documents and Settings\Grok\Application Data\5C.tmp','');
QuarantineFile('C:\WINDOWS\system32\07.exe','');
QuarantineFile('e:\ArmAWork\mapdisk.bat','');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe','');
QuarantineFile('C:\WINDOWS\aadrive32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
QuarantineFile('C:\Documents and Settings\Grok\Application Data\Qlwywo.exe','');
QuarantineFile('c:\windows\aadrive32.exe','');
Deletefilemask('C:\Documents and Settings\Grok\Application Data','5?.tmp',true);
DeleteFile('c:\windows\aadrive32.exe');
DeleteFile('C:\Documents and Settings\Grok\Application Data\Qlwywo.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Qlwywo');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
DeleteFile('C:\WINDOWS\aadrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe');
DeleteFile('C:\WINDOWS\system32\07.exe');
DeleteFile('C:\WINDOWS\system32\21.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
Сделайте лог полного сканирования МВАМ
Шапельский Александр, по зарзе хвостов не наблюдаю. Но теперь выскакивает окно "Предотвращение выполнения данных - Microsoft Windows", с содержанием: "Для защиты компьютера эта программа была закрыта системой. Имя: Generic Host Process for Win32 Services. Издатель: Microsoft Corporation" и предложенем закрыть это сообщение. Так же, все ярлыки на рабочей панели потеряли свои пути, а опера просто перестала запускаться. Как я понимаю, это результат МВАM'а?
Шапельский Александр, оперу переустановлю. Ярлыки пересоздал и все исправно работают. Спасибо Вам за оперативность и профессионализм! С меня в короткие сроки "булькающее" спасибо!
Шапельский Александр, не всё так гладко. Нарушил Великую заповедь и начал рано радоваться:
1. Имеющаяся опера не убивается и пишет: Error initializing Opera: module 76 (webserver).
2. Все ярлыки пересоздал, но на панели задач не убиваются, с жалобами на отсутствие доступа, якобы связанного с защитой от записи или занятостью оного другим приложением.
Шапельский Александр, ярлыки снёс. А вот с оперой полная засада. Вручную опера удалилась полностью (сама корневая папка на жёстком), shift+del, т.е. минуя корзину. Uninstal'ом удалить не получается, пишет Error initializing Opera: module 76 (webserver). Но и это пол беды. При попытке установить оперу в другое место установщик надолго задумывается, после чего неохотно пробует установиться, а дальше снова выскакивает тот же Error initializing Opera: module 76 (webserver), при всём при этом появляется та же папка оперы, что была удалена вручную до этого.
Шапельский Александр, вопос с оперой остаётся актуальным. Почистил Сcleaner'ом всё, что только можно было почистить. Пробовал убить её через безопасный режим, чистил всё в реестре, опять же Сcleaner'ом и удалял вручную оперу, пробовал деинсталировать оперу Сcleaner'ом, но результат тот же, что и в предыдущем посте. При установке новых приложений появились жуткие тормоза. Дожидаться окошка сетапа приходится очень долго.
Уважаемый(ая) Grok, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: