Здравствуйте.
Было сильное вирусное заражение компьютера. Просканировал его в безопасном режиме с помощью утилиты CureIt, она нашла кучу зараженных файлов, но остались подозрения на присутствие вирусов в системе.
Посмотрите, пожалуйста.
Здравствуйте.
Было сильное вирусное заражение компьютера. Просканировал его в безопасном режиме с помощью утилиты CureIt, она нашла кучу зараженных файлов, но остались подозрения на присутствие вирусов в системе.
Посмотрите, пожалуйста.
Уважаемый(ая) kanti, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{DA2477E7-CF4C-255F-5741-40697330ED12}'); QuarantineFile('c:\windows\csrss.exe',''); QuarantineFile('C:\WINDOWS\system32\nkrfmjmzqjzbnjg4nerc.dll',''); QuarantineFile('C:\WINDOWS\system32\jjj.exe',''); QuarantineFile('C:\WINDOWS\system32\gggg.exe',''); QuarantineFile('C:\WINDOWS\system32\explorer.exe',''); QuarantineFile('C:\WINDOWS\system32\ehevs8.exe',''); QuarantineFile('C:\WINDOWS\system32\config\systemprofile\6szzkoiujs.exe',''); QuarantineFile('C:\WINDOWS\system32\config\systemprofile\4.exe',''); QuarantineFile('C:\WINDOWS\System32\userinit.exe',''); QuarantineFile('C:\Documents and Settings\Серега\dfz89yqs79.exe',''); QuarantineFile('C:\Documents and Settings\Серега\Application Data\4fhj.exe',''); QuarantineFile('C:\Documents and Settings\Серега\Application Data\KB435218.exe',''); QuarantineFile('C:\Documents and Settings\Серега\Application Data\netprotocol.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\phllon.sys',''); DeleteService('abp470n5'); QuarantineFile('C:\Documents and Settings\Серега\Application Data\MouseDriver.bat',''); QuarantineFile('c:\windows\system32\nkrfmjmzqjzbnjg4nerc.dll',''); QuarantineFile('c:\documents and settings\Серега\application data\4fhj.exe',''); TerminateProcessByName('c:\documents and settings\Серега\application data\4fhj.exe'); DeleteFile('c:\documents and settings\Серега\application data\4fhj.exe'); DeleteFile('c:\windows\system32\nkrfmjmzqjzbnjg4nerc.dll'); DeleteFile('C:\WINDOWS\system32\drivers\phllon.sys'); DeleteFile('C:\Documents and Settings\Серега\Application Data\4fhj.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','hka5av'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','38t2'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','KB435218.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Netprotocol'); DeleteFile('C:\Documents and Settings\Серега\Application Data\netprotocol.exe'); DeleteFile('C:\Documents and Settings\Серега\Application Data\KB435218.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','dfz89yqs79'); DeleteFile('C:\Documents and Settings\Серега\dfz89yqs79.exe'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','dfz89yqs79'); DeleteFile('C:\WINDOWS\system32\config\systemprofile\4.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','4'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','4'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','6szzkoiujs'); DeleteFile('C:\WINDOWS\system32\config\systemprofile\6szzkoiujs.exe'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','6szzkoiujs'); DeleteFile('C:\WINDOWS\system32\gggg.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gggg'); DeleteFile('C:\WINDOWS\system32\jjj.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','jjj'); DeleteFile('C:\WINDOWS\system32\nkrfmjmzqjzbnjg4nerc.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\cdfycyyh\Parameters','ServiceDll'); QuarantineFile('C:\WINDOWS\system32\ghost.exe',''); DeleteFile('c:\windows\csrss.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Generic Host Process for Win32 Services'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Process'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(11); ExecuteRepair(17); ExecuteRepair(9); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Сделайте лог MBAM
Карантин загрузил
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\WINDOWS\system32\nwcwks.dll', 'MBAM: Trojan.Inject'); QuarantineFile('c:\WINDOWS\system32\ehevs8.exe', 'MBAM: Trojan.Agent'); QuarantineFile('c:\WINDOWS\system32\MSWINSCK.OCX', 'MBAM: Worm.Nyxem'); QuarantineFile('c:\documents and settings\Серега\application data\9qus02crs.exe', 'MBAM: Trojan.Agent.Gen'); QuarantineFile('c:\documents and settings\Серега\application data\hkoici08.dll', 'MBAM: Adware.Agent'); QuarantineFile('c:\documents and settings\Серега\application data\kt3q2svd5.exe', 'MBAM: Trojan.Agent.Gen'); QuarantineFile('c:\documents and settings\Серега\application data\n2iz308a.exe', 'MBAM: Trojan.Agent.Gen'); QuarantineFile('c:\documents and settings\Серега\application data\netprotdrvss.exe', 'MBAM: Backdoor.IRCBot'); QuarantineFile('c:\documents and settings\Серега\application data\od02g03da.exe', 'MBAM: Trojan.Agent.Gen'); QuarantineFile('c:\documents and settings\Серега\application data\p8nw6t5vy.exe', 'MBAM: Trojan.Agent.Gen'); QuarantineFile('c:\documents and settings\Серега\doctorweb\quarantine\hkoici08.exe', 'MBAM: Adware.Agent'); QuarantineFile('c:\documents and settings\Серега\doctorweb\quarantine\nwcwks.dll', 'MBAM: Trojan.Inject'); QuarantineFile('c:\documents and settings\Серега\doctorweb\quarantine\regutils.dll', 'MBAM: Trojan.Agent'); QuarantineFile('c:\documents and settings\Серега\doctorweb\quarantine\VRTB.tmp', 'MBAM: Backdoor.Agent.H'); QuarantineFile('c:\program files\complus applications\mdw.dll', 'MBAM: Spyware.Agent'); QuarantineFile('c:\program files\complus applications\qt3.dll', 'MBAM: Trojan.Agent'); QuarantineFile('c:\program files\complus applications\repodbc.dll', 'MBAM: Trojan.Agent'); QuarantineFile('c:\WINDOWS\system32\bpk.dat', 'MBAM: Keylogger'); QuarantineFile('c:\WINDOWS\system32\inst.dat', 'MBAM: Keylogger'); QuarantineFile('c:\WINDOWS\system32\pk.bin', 'MBAM: Keylogger'); QuarantineFile('c:\WINDOWS\system32\sircheckfile.dat', 'MBAM: Malware.Trace'); QuarantineFile('c:\WINDOWS\AppPatch\AcXtrnal.xml', 'MBAM: Spyware.OnlineGames'); QuarantineFile('c:\documents and settings\Серега\application data\mousedriver.bat', 'MBAM: Trojan.Agent'); QuarantineFile('c:\WINDOWS\system32\livefloat.zip', 'MBAM: Adware.Kraddare'); DeleteFile('c:\WINDOWS\system32\nwcwks.dll'); DeleteFile('c:\WINDOWS\system32\ehevs8.exe'); DeleteFile('c:\WINDOWS\system32\MSWINSCK.OCX'); DeleteFile('c:\documents and settings\Серега\application data\9qus02crs.exe'); DeleteFile('c:\documents and settings\Серега\application data\hkoici08.dll'); DeleteFile('c:\documents and settings\Серега\application data\kt3q2svd5.exe'); DeleteFile('c:\documents and settings\Серега\application data\n2iz308a.exe'); DeleteFile('c:\documents and settings\Серега\application data\netprotdrvss.exe'); DeleteFile('c:\documents and settings\Серега\application data\od02g03da.exe'); DeleteFile('c:\documents and settings\Серега\application data\p8nw6t5vy.exe'); DeleteFile('c:\documents and settings\Серега\doctorweb\quarantine\hkoici08.exe'); DeleteFile('c:\documents and settings\Серега\doctorweb\quarantine\nwcwks.dll'); DeleteFile('c:\documents and settings\Серега\doctorweb\quarantine\regutils.dll'); DeleteFile('c:\documents and settings\Серега\doctorweb\quarantine\VRTB.tmp'); DeleteFile('c:\documents and settings\Серега\рабочий стол\avz4\avz4\Infected\2011-09-30\avz00002.dta'); DeleteFile('c:\documents and settings\Серега\рабочий стол\avz4\avz4\Infected\2011-09-30\avz00004.dta'); DeleteFile('c:\system volume information\_restore{76f49703-965e-4e1c-9b9b-1f406c2a7551}\RP12\A0000254.exe'); DeleteFile('c:\system volume information\_restore{76f49703-965e-4e1c-9b9b-1f406c2a7551}\RP12\A0000256.exe'); DeleteFile('c:\WINDOWS\system32\bpk.dat'); DeleteFile('c:\WINDOWS\system32\inst.dat'); DeleteFile('c:\WINDOWS\system32\pk.bin'); DeleteFile('c:\WINDOWS\system32\sircheckfile.dat'); DeleteFile('c:\documents and settings\Серега\application data\mousedriver.bat'); DeleteFile('c:\WINDOWS\system32\livefloat.zip'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Удалите в МВАМ все, кромеКод:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. c:\program files\complus applications\mdw.dll (Spyware.Agent) -> No action taken. c:\program files\complus applications\qt3.dll (Trojan.Agent) -> No action taken. c:\program files\complus applications\repodbc.dll (Trojan.Agent) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Карантин загрузил.
Все рекомендации выполнил.
лог мвам и virusinfo_syscheck.zip повторите
Новые логи.
В логах все чисто?
Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 113
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\серега\\application data\\kt3q2svd5.exe - Trojan.Win32.Swisyn.bpat ( DrWEB: Trojan.MulDrop2.41871, BitDefender: Trojan.Generic.KD.359351, AVAST4: Win32:VB-LYG [Trj] )
- c:\\documents and settings\\серега\\application data\\netprotdrvss.exe - Trojan.Win32.Jorik.Buterat.sf ( DrWEB: BackDoor.Butirat.24, BitDefender: Trojan.Generic.KD.361425, NOD32: Win32/TrojanClicker.Agent.NII trojan, AVAST4: Win32:Buterat-DW [Trj] )
- c:\\documents and settings\\серега\\application data\\netprotocol.exe - Trojan.Win32.Jorik.Buterat.sf ( DrWEB: BackDoor.Butirat.24, BitDefender: Trojan.Generic.KD.361425, NOD32: Win32/TrojanClicker.Agent.NII trojan, AVAST4: Win32:Buterat-DW [Trj] )
- c:\\documents and settings\\серега\\application data\\n2iz308a.exe - Trojan.Win32.Swisyn.bpat ( DrWEB: Trojan.MulDrop2.41871, BitDefender: Trojan.Generic.KD.359351, AVAST4: Win32:VB-LYG [Trj] )
- c:\\documents and settings\\серега\\application data\\od02g03da.exe - Trojan.Win32.Swisyn.bpat ( DrWEB: Trojan.MulDrop2.41871, BitDefender: Trojan.Generic.KD.359351, AVAST4: Win32:VB-LYG [Trj] )
- c:\\documents and settings\\серега\\application data\\p8nw6t5vy.exe - Trojan.Win32.Swisyn.bpat ( DrWEB: Trojan.MulDrop2.41871, BitDefender: Trojan.Generic.KD.359351, AVAST4: Win32:VB-LYG [Trj] )
- c:\\documents and settings\\серега\\application data\\4fhj.exe - Trojan.Win32.VBKrypt.gust ( DrWEB: Trojan.DownLoader4.60934, BitDefender: Trojan.Generic.6781233, AVAST4: Win32:VB-WXJ [Trj] )
- c:\\documents and settings\\серега\\application data\\9qus02crs.exe - Trojan.Win32.Swisyn.bpat ( DrWEB: Trojan.MulDrop2.41871, BitDefender: Trojan.Generic.KD.359351, AVAST4: Win32:VB-LYG [Trj] )
- c:\\documents and settings\\серега\\doctorweb\\quarantine\\hkoici08. exe - HEUR:Trojan.Win32.Generic ( DrWEB: Trojan.DownLoader5.399, BitDefender: Gen:Variant.Strictor.3999, AVAST4: Win32:Adload-MI [Trj] )
- c:\\documents and settings\\серега\\doctorweb\\quarantine\\nwcwks.dl l - Trojan.Win32.Inject.bgkf ( DrWEB: Trojan.PWS.Spy.12768, BitDefender: Trojan.Generic.6354103, AVAST4: Win32:Malware-gen )
- c:\\documents and settings\\серега\\doctorweb\\quarantine\\regutils. dll - Trojan.Win32.Small.cmc ( DrWEB: Trojan.Siggen2.28307, BitDefender: Trojan.Generic.5256372, AVAST4: Win32:Malware-gen )
- c:\\documents and settings\\серега\\doctorweb\\quarantine\\vrtb.tmp - Backdoor.Win32.Agent.bwey ( DrWEB: Trojan.DownLoader4.62449, BitDefender: Gen:Trojan.Heur.GZ.eCWbbye5eYki, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\ehevs8.exe - Trojan-Spy.Win32.VB.coq ( DrWEB: Trojan.PWS.Spy.11891, BitDefender: Trojan.Generic.7452666, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\nkrfmjmzqjzbnjg4nerc.dll - Trojan-Clicker.Win32.Casu.gku ( DrWEB: Trojan.Click1.63043, BitDefender: Trojan.Generic.KDV.372504, NOD32: Win32/TrojanDownloader.Boaxxe.AG trojan, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\nwcwks.dll - Trojan.Win32.Inject.bgkf ( DrWEB: Trojan.PWS.Spy.12768, BitDefender: Trojan.Generic.6354103, AVAST4: Win32:Malware-gen )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) kanti, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.