Junior Member
Вес репутации
46
Не удаляются вирусы с флешки
Несколько раз проверял компьютер на вирусы cure it и avz, каждый раз находит вирусы в итоге. Интернет скайлинк через раз сам отключается и больше не работает до перезагрузки. При этом изменяется панель пуска(цвет, форма). Часто система подвисает.
Флешку невозможно отформатировать.
hijack - не скачивается
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Oleg888 , спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект .
Junior Member
Вес репутации
46
Удалось за пустить hijack.
Вложения
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('F:\autorun.inf','');
QuarantineFile('G:\autorun.inf','');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\Qexgxw.exe','');
DeleteService('osydxjuaqgekare');
TerminateProcessByName('c:\docume~1\admin\locals~1\temp\ctfmon.exe');
QuarantineFile('c:\docume~1\admin\locals~1\temp\ctfmon.exe','');
TerminateProcessByName('c:\windows\aadrive32.exe');
QuarantineFile('c:\windows\aadrive32.exe','');
DeleteFile('c:\windows\aadrive32.exe');
DeleteFile('c:\docume~1\admin\locals~1\temp\ctfmon.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Qexgxw.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Qexgxw');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe');
DeleteFile('G:\autorun.inf');
DeleteFile('F:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Установите все новые обновления для Windows
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
46
Вложения
Удалите в МВАМ только указанные строки
Код:
Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Parimatch (PUP.Casino) -> No action taken.
Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (PUM.Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.
Зараженные папки:
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413 (Worm.AutoRun) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> No action taken.
Зараженные файлы:
c:\documents and settings\Admin\application data\13.tmp (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\18.tmp (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\3.tmp (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\4.tmp (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\5A.tmp (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\5B.tmp (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\6.tmp (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\7.tmp (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\B.tmp (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\D.tmp (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\5C.tmp (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\pey7.tmp (Backdoor.ProRat) -> No action taken.
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413\Desktop.ini (Worm.AutoRun) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Worm.AutoRun.Gen) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
46
Вложения
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
46
Глюков вроде больше нет, интернет работает. Но смущает проверка АВЗ:
7. Эвристичеcкая проверка системы
>>> F:\autorun.inf ЭПС: подозрение на скрытый автозапуск (высокая степень вероятности)
Файл успешно помещен в карантин (F:\autorun.inf)
>>> F:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe ЭПС: подозрение на скрытый автозапуск F:\autorun.inf [Autorun\Open]
Файл успешно помещен в карантин (F:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe)
>>> F:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe ЭПС: подозрение на скрытый автозапуск F:\autorun.inf [Autorun\shell\open\command]
>>> G:\autorun.inf ЭПС: подозрение на скрытый автозапуск (высокая степень вероятности)
Файл успешно помещен в карантин (G:\autorun.inf)
>>> G:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe ЭПС: подозрение на скрытый автозапуск G:\autorun.inf [Autorun\Open]
Файл успешно помещен в карантин (G:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe)
>>> G:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe ЭПС: подозрение на скрытый автозапуск G:\autorun.inf [Autorun\shell\open\command]
Сделайте лог virusinfo_syscure.zip
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
46
Вложения
Junior Member
Вес репутации
46
Форматнул обе флешки, наконец-то удалось это сделать.
Сделал после этого еще раз лог.
Вложения
Junior Member
Вес репутации
46
Вроде все хорошо работает! Спасибо!
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 19 В ходе лечения обнаружены вредоносные программы:
c:\\documents and settings\\admin\\application data\\qexgxw.exe - Backdoor.Win32.Floder.eaq ( DrWEB: BackDoor.Ddoser.131, BitDefender: Backdoor.Generic.689407, AVAST4: Win32:Kolab-MX [Trj] ) c:\\docume~1\\admin\\locals~1\\temp\\ctfmon.exe - Trojan-Ransom.Win32.PornoAsset.bit ( DrWEB: Trojan.DownLoader4.64512, BitDefender: Trojan.Generic.6696724, NOD32: Win32/Rootkit.BlackEnergy.AC trojan, AVAST4: Win32:MalOb-IJ [Cryp] ) c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\ecleaner.exe - Backdoor.Win32.Floder.dyk ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.6783913, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Trojan-gen ) c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1413\\syitm.exe - Trojan.Win32.VBKrypt.hcwp ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.6761046, AVAST4: Win32:IRCBot-EBT [Trj] ) c:\\windows\\aadrive32.exe - Trojan.Win32.VBKrypt.hdaw ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.6768165, AVAST4: Win32:IRCBot-EBT [Trj] )