После закрытия сообщения об ошибки експлорера появляется сообщение об ошибке дрватсон но не всегда.Проблемы с выходом в сеть ,ну и в общем наблюдается некоторая тормознутость.
После закрытия сообщения об ошибки експлорера появляется сообщение об ошибке дрватсон но не всегда.Проблемы с выходом в сеть ,ну и в общем наблюдается некоторая тормознутость.
Уважаемый(ая) andreas_01, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ (как выполнить):
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\WINDOWS\system32\25.exe',''); QuarantineFile('C:\WINDOWS\system32\22.exe',''); QuarantineFile('C:\WINDOWS\system32\21.exe',''); QuarantineFile('C:\WINDOWS\system32\16.exe',''); QuarantineFile('C:\WINDOWS\system32\10.exe',''); QuarantineFile('C:\WINDOWS\system32\04.exe',''); QuarantineFile('C:\WINDOWS\system32\03.exe',''); QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\cis2E.exe',''); QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe',''); DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe'); DeleteFile('C:\WINDOWS\system32\03.exe'); DeleteFile('C:\WINDOWS\system32\04.exe'); DeleteFile('C:\WINDOWS\system32\10.exe'); DeleteFile('C:\WINDOWS\system32\16.exe'); DeleteFile('C:\WINDOWS\system32\21.exe'); DeleteFile('C:\WINDOWS\system32\22.exe'); DeleteFile('C:\WINDOWS\system32\25.exe'); DeleteFile('C:\WINDOWS\system32\30.exe'); DeleteFile('C:\WINDOWS\system32\31.exe'); DeleteFile('C:\WINDOWS\system32\35.exe'); DeleteFile('C:\WINDOWS\system32\36.exe'); DeleteFile('C:\WINDOWS\system32\40.exe'); DeleteFile('C:\WINDOWS\system32\43.exe'); DeleteFile('C:\WINDOWS\system32\44.exe'); DeleteFile('C:\WINDOWS\system32\46.exe'); DeleteFile('C:\WINDOWS\system32\50.exe'); DeleteFile('C:\WINDOWS\system32\56.exe'); DeleteFile('C:\WINDOWS\system32\60.exe'); DeleteFile('C:\WINDOWS\system32\61.exe'); DeleteFile('C:\WINDOWS\system32\62.exe'); DeleteFile('C:\WINDOWS\system32\63.exe'); DeleteFile('C:\WINDOWS\system32\71.exe'); DeleteFile('C:\WINDOWS\system32\72.exe'); DeleteFile('C:\WINDOWS\system32\73.exe'); DeleteFile('C:\WINDOWS\system32\75.exe'); DeleteFile('C:\WINDOWS\system32\77.exe'); DeleteFile('C:\WINDOWS\system32\81.exe'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); BC_Activate; RebootWindows(true); end.
После перезагрузки выполните скрипт в AVZ:
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".Код:begin CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end.
Сделайте заново лог virusinfo_syscheck.zip и приложите в теме.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
всё сделал как вы сказали,но в диспетчере задач иногда появляются 2 процеса с названием ххх причём оно иногда меняется на какоето другое на 1 секунду потом обратно становится ххх . авира премиум время от времени отлавливает какието дропперы и трояны
В указанной последовательности:
Установите все обновления безопасности, вышедшие после Service Pack 3:
http://windowsupdate.microsoft.com/
Обновите Internet Explorer до актуальной версии (даже если не используете):
http://windows.microsoft.com/ru-RU/i...r/downloads/ie
Выполните скрипт в AVZ отсюда:
http://dataforce.ru/~kad/ScanVuln.txt
Файл avz_log.txt из папки AVZ\LOG приложите в теме.
Пройдите по всем ссылкам (http:...) в avz_log.txt и установите указанные там обновления.
Выполните еще раз скрипт в http://dataforce.ru/~kad/ScanVuln.txt и убедитесь, что обновления установились.
Выполните скрипт в AVZ (как выполнить):
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; TerminateProcessByName('c:\windows\jodrive32.exe'); TerminateProcessByName('c:\docume~1\admin\locals~1\temp\ctfmon.exe'); TerminateProcessByName('c:\windows\system32\ac32.exe'); TerminateProcessByName('c:\documents and settings\admin\application data\35.tmp'); TerminateProcessByName('c:\documents and settings\admin\application data\34.tmp'); QuarantineFile('C:\WINDOWS\system32\68.exe',''); QuarantineFile('C:\WINDOWS\system32\67.exe',''); QuarantineFile('C:\WINDOWS\system32\42.exe',''); QuarantineFile('C:\WINDOWS\system32\21.exe',''); QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ winfixer c a r d .cmd',''); QuarantineFile('C:\WINDOWS\system32\ac32.exe',''); QuarantineFile('C:\WINDOWS\system32\frapsvid.dll',''); QuarantineFile('C:\WINDOWS\jodrive32.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe',''); QuarantineFile('c:\windows\rthdcpl.exe',''); QuarantineFile('c:\windows\system32\pnkbstrb.exe',''); QuarantineFile('d:\program files\networx\networx.exe',''); QuarantineFile('c:\windows\jodrive32.exe',''); QuarantineFile('c:\docume~1\admin\locals~1\temp\ctfmon.exe',''); QuarantineFile('c:\windows\system32\ac32.exe',''); QuarantineFile('c:\documents and settings\admin\application data\35.tmp',''); QuarantineFile('c:\documents and settings\admin\application data\34.tmp',''); DeleteFile('c:\documents and settings\admin\application data\34.tmp'); DeleteFile('c:\documents and settings\admin\application data\35.tmp'); DeleteFile('c:\windows\system32\ac32.exe'); DeleteFile('c:\docume~1\admin\locals~1\temp\ctfmon.exe'); DeleteFile('c:\windows\jodrive32.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','zaber0'); DeleteFile('C:\WINDOWS\jodrive32.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Config Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Config Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ac32'); DeleteFile('C:\WINDOWS\system32\ac32.exe'); DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ winfixer c a r d .cmd'); DeleteFile('C:\WINDOWS\system32\21.exe'); DeleteFile('C:\WINDOWS\system32\42.exe'); DeleteFile('C:\WINDOWS\system32\67.exe'); DeleteFile('C:\WINDOWS\system32\68.exe'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); BC_Activate; RebootWindows(true); end.
После перезагрузки выполните скрипт в AVZ:
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".Код:begin CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end.
Сделайте заново лог virusinfo_syscheck.zip и приложите в теме.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Выполнил все обновления кроме квиктайм плеера.выполнил скрипт который вы дали.иногда в левом углу монитора на долю секунды появляется чёрное окошко вроде как косоль(или как там её)))
В AVZ выполните скрипт:
Повторите лог virusinfo_syscure.zipКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\87.exe',''); QuarantineFile('C:\WINDOWS\system32\58.exe',''); QuarantineFile('C:\WINDOWS\system32\52.exe',''); QuarantineFile('C:\WINDOWS\system32\47.exe',''); QuarantineFile('C:\WINDOWS\system32\40.exe',''); QuarantineFile('C:\WINDOWS\system32\13.exe',''); QuarantineFile('C:\WINDOWS\system32\04.exe',''); QuarantineFile('C:\WINDOWS\system32\01.exe',''); DeleteFile('C:\WINDOWS\system32\01.exe'); DeleteFile('C:\WINDOWS\system32\04.exe'); DeleteFile('C:\WINDOWS\system32\13.exe'); DeleteFile('C:\WINDOWS\system32\40.exe'); DeleteFile('C:\WINDOWS\system32\47.exe'); DeleteFile('C:\WINDOWS\system32\52.exe'); DeleteFile('C:\WINDOWS\system32\58.exe'); DeleteFile('C:\WINDOWS\system32\87.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
+ Сделайте лог полного сканирования MBAM
Paula rhei.
Поддержать проект можно тут
Эта зараза помоему из интернета подкачивается.Когда сканил MBAM отключал авиру и после сканирования забыл включить так вот после того как вышел в сеть появился процес ххх (время от времени меняет название на BrouseIT (не точное название,просто не успел запомнить))и он чтото помоему качал из сети.
Обновления все установили?
Удалите в МВАМ:
Выполните скрипт в AVZ (как выполнить):Код:Зараженные ключи в реестре: HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\BLOCK_READER (Trojan.LdPinch) -> No action taken. Зараженные параметры в реестре: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\block_reader\DisplayName (Trojan.LdPinch) -> Value: DisplayName -> No action taken. Зараженные папки: c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> No action taken. Зараженные файлы: c:\documents and settings\Admin\local settings\application data\thinstall\Cache\Stubs\8f5ca6221d4cfe7b5b9bb8d984cc7381bd6f68b\acdseeqv10.exe (Trojan.Backdoor) -> No action taken. c:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\4R96U730\325340703[1].gif (Extension.Mismatch) -> No action taken. c:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\WW212ODA\325340703[1].gif (Extension.Mismatch) -> No action taken. c:\WINDOWS\system32\iehv.exe (PUP.HistoryTool) -> No action taken. c:\WINDOWS\system32\internet.fne (HackTool.Patcher) -> No action taken. c:\WINDOWS\system32\Drive(C)\documents and settings\Admin\local settings\application data\thinstall\Cache\Stubs\8f5ca6221d4cfe7b5b9bb8d984cc7381bd6f68b\acdseeqv10.exe (Trojan.Backdoor) -> No action taken. c:\WINDOWS\system32\Drive(C)\WINDOWS\system32\ctfmon.exe (Trojan.FakeMS) -> No action taken. c:\WINDOWS\system32\Drive(C)\WINDOWS\system32\internet.fne (HackTool.Patcher) -> No action taken. c:\WINDOWS\system32\Drive(C)\WINDOWS\system32\dllcache\iissync.exe (Virus.Expiro) -> No action taken. c:\documents and settings\Admin\application data\3B.tmp (Trojan.Agent) -> No action taken. c:\documents and settings\Admin\application data\43.tmp (Trojan.Agent) -> No action taken. c:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) -> No action taken. c:\WINDOWS\system32\krnln.fnr (Trojan.Agent) -> No action taken. c:\WINDOWS\system32\og.EDT (Worm.AutoRun) -> No action taken. c:\WINDOWS\system32\RegEx.fnr (Worm.AutoRun) -> No action taken. c:\WINDOWS\logfile32.txt (Malware.Trace) -> No action taken. c:\ndo32.exe (Worm.AutoRun) -> No action taken. c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Worm.AutoRun.Gen) -> No action taken. c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe (Worm.AutoRun.Gen) -> No action taken.
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\Documents and Settings\Admin\Application Data\Pbrpre.exe',''); QuarantineFile('Rstpmnswb.sys',''); QuarantineFile('gusvc.sys',''); BC_DeleteSvc('gusvc'); BC_DeleteSvc('Rstpmnswb'); DeleteFile('C:\Documents and Settings\Admin\Application Data\Pbrpre.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Pbrpre'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки выполните скрипт в AVZ:
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".Код:begin CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end.
Сделайте заново лог virusinfo_syscheck.zip и приложите в теме.
Сделайте заново лог МВАМ и приложите в теме.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Карантин загрузил.Скрипты выполнил,логи прилагаю.Спасибо вам огромное за то что возитесь с такими как я)))
А можно узнать как хоть называется зараза живущая в моём компе?
Удалите в mbam
В AVZ выполните скрипт:Код:Зараженные параметры в реестре: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Worm.AutoRun) -> Value: Shell -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Trojan.Agent) -> Value: Taskman -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Microsoft Config Setup (Trojan.Agent.MSGen) -> Value: Microsoft Config Setup -> No action taken. Объекты реестра заражены: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe,Explorer.exe) Good: (Explorer.exe) -> No action taken.
Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('c:\WINDOWS\system32\drivers\str.sys', 'MBAM: Rootkit.Agent'); DeleteFile('c:\WINDOWS\system32\drivers\str.sys'); ExecuteWizard('SCU',2,2,true); BC_ImportAll; ExecuteSysClean; BC_Activate; SetAVZPMStatus(True); RebootWindows(true); end.
После перезагрузки
Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
Логи повторите.
----
c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe, C:\WINDOWS\system32\03.exe,... - Backdoor.Win32.Floder.efk
c:\documents and settings\admin\application data\35.tmp - Trojan.Win32.Jorik.Tedroo.ba
c:\docume~1\admin\locals~1\temp\ctfmon.exe - Trojan-Ransom.Win32.PornoAsset.bkk
C:\Documents and Settings\Admin\Application Data\Pbrpre.exe - Backdoor.Win32.Floder.egf
Paula rhei.
Поддержать проект можно тут
единственное что сделал не так ,это вот это дело c:\WINDOWS\system32\drivers\str.sys удалил в mbam (решил блин с умничать, а потом увидел что эта операция внесена в скрипт AVZ).Установил COMODO Firewall приложение систем просится в сеть пускать его или не надо?
Выполните скрипт в AVZ (как выполнить):
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\ctfmon.exe'); BC_DeleteSvc('hlujiwujvexgnei'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделайте заново лог virusinfo_syscheck.zip и приложите в теме.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Всё сделал как вы сказали
Выполните скрипт в AVZ (как выполнить):
Больше подозрительного не увидел. Что с проблемой?Код:begin SetAVZPMStatus(false); end.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Скрипт выполнил.Помоему всё удачненько)проблем в данный момент не наблюдается.Обязательно выполню все рекомендации по безопасности .Спасибо Вам огромное!!!Сам бы я не справился.
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 77
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\admin\\application data\\pbrpre.exe - Backdoor.Win32.Floder.egf ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Generic.KDV.374656, AVAST4: Win32:Kolab-MX [Trj] )
- c:\\documents and settings\\admin\\application data\\35.tmp - Trojan.Win32.Jorik.Tedroo.ba ( DrWEB: Win32.HLLW.Autoruner.61996, BitDefender: Trojan.Generic.6732407, NOD32: Win32/SpamTool.Tedroo.AT trojan, AVAST4: Win32:Zbot-NOO [Trj] )
- c:\\docume~1\\admin\\locals~1\\temp\\ctfmon.exe - Trojan-Ransom.Win32.PornoAsset.bkk ( DrWEB: Trojan.DownLoader5.2577, BitDefender: Trojan.Generic.6731854, AVAST4: Win32:Malware-gen )
- c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\ winfixer c a r d .cmd - Backdoor.Win32.Floder.egf ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Generic.KDV.374656, AVAST4: Win32:Kolab-MX [Trj] )
- c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\ecleaner.exe - Backdoor.Win32.Floder.efk ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Generic.6717559, AVAST4: Win32:Kolab-MX [Trj] )
- c:\\windows\\system32\\03.exe - Backdoor.Win32.Floder.egf ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Generic.KDV.374656, AVAST4: Win32:Kolab-MX [Trj] )
- c:\\windows\\system32\\04.exe - Backdoor.Win32.Floder.efk ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Generic.6717559, AVAST4: Win32:Kolab-MX [Trj] )
- c:\\windows\\system32\\10.exe - Backdoor.Win32.Floder.efk ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Generic.6717559, AVAST4: Win32:Kolab-MX [Trj] )
- c:\\windows\\system32\\16.exe - Backdoor.Win32.Floder.efk ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Generic.6717559, AVAST4: Win32:Kolab-MX [Trj] )
- c:\\windows\\system32\\21.exe - Backdoor.Win32.Floder.efk ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Generic.6717559, AVAST4: Win32:Kolab-MX [Trj] )
- c:\\windows\\system32\\22.exe - Backdoor.Win32.Floder.efk ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Generic.6717559, AVAST4: Win32:Kolab-MX [Trj] )
- c:\\windows\\system32\\25.exe - Backdoor.Win32.Floder.efk ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Generic.6717559, AVAST4: Win32:Kolab-MX [Trj] )
Уважаемый(ая) andreas_01, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.