Junior Member
Вес репутации
46
Блокировка антивирусника
На компьютере в системном трее висит значок Eset Nod 32, хотя данная антивирусная программа не установлена. При попытке её вызвать из трея появляется окно сообщения "Усиленный режим защиты"; более никаких функций нет. Установить антивирус заново не удаётся. Антивирусные утилиты AVPTool, Dr.Web CureIt! установить невозможно - вирус их блокирует.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Kristi , спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект .
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\9713855.exe','');
QuarantineFile('C:\WINDOWS\Temp\931374.exe','');
QuarantineFile('C:\WINDOWS\Temp\5675018.exe','');
QuarantineFile('C:\WINDOWS\Temp\5362042.exe','');
QuarantineFile('C:\WINDOWS\Temp\415676.exe','');
QuarantineFile('C:\WINDOWS\Temp\307353.exe','');
QuarantineFile('C:\WINDOWS\l1rezerv.exe','');
QuarantineFile('C:\WINDOWS\ufa\ufa.exe','');
QuarantineFile('C:\WINDOWS\systemup.exe','');
QuarantineFile('C:\WINDOWS\update.tray-2-0\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\winservice.com','');
QuarantineFile('wxpdrivers.sys','');
QuarantineFile('C:\WINDOWS\update.6.1\svchost.exe','');
QuarantineFile('C:\WINDOWS\update.8.1\svchost.exe','');
DeleteService('wxpdrivers');
DeleteService('srvpele');
DeleteService('srvinstallvideodrv');
SetServiceStart('srvsysdriver32', 4);
DeleteService('srvsysdriver32');
SetServiceStart('srviecheck', 4);
DeleteService('srviecheck');
SetServiceStart('srvbtcclient', 4);
DeleteService('srvbtcclient');
SetServiceStart('ddservice', 4);
DeleteService('ddservice');
TerminateProcessByName('c:\windows\sysdriver32.exe');
QuarantineFile('c:\windows\sysdriver32.exe','');
TerminateProcessByName('c:\windows\update.7.1\svchostdriver.exe');
QuarantineFile('c:\windows\update.7.1\svchostdriver.exe','');
TerminateProcessByName('c:\windows\update.2\svchost.exe');
QuarantineFile('c:\windows\update.2\svchost.exe','');
TerminateProcessByName('c:\windows\update.5.0\svchost.exe');
QuarantineFile('c:\windows\update.5.0\svchost.exe','');
TerminateProcessByName('c:\windows\update.tray-2-0\svchost.exe');
QuarantineFile('c:\windows\update.tray-2-0\svchost.exe','');
DeleteFile('c:\windows\update.tray-2-0\svchost.exe');
DeleteFile('c:\windows\update.5.0\svchost.exe');
DeleteFile('c:\windows\update.2\svchost.exe');
DeleteFile('c:\windows\update.7.1\svchostdriver.exe');
DeleteFile('c:\windows\sysdriver32.exe');
DeleteFile('C:\WINDOWS\update.8.1\svchost.exe');
DeleteFile('C:\WINDOWS\update.6.1\svchost.exe');
DeleteFile('wxpdrivers.sys');
DeleteFile('C:\WINDOWS\system32\winservice.com');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico0');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','systemnt');
DeleteFile('C:\WINDOWS\update.tray-2-0\svchost.exe');
DeleteFile('services32.exe');
DeleteFile('C:\WINDOWS\systemup.exe');
DeleteFile('C:\WINDOWS\ufa\ufa.exe');
DeleteFile('C:\WINDOWS\l1rezerv.exe');
DeleteFile('C:\WINDOWS\Temp\307353.exe');
DeleteFile('C:\WINDOWS\Temp\415676.exe');
DeleteFile('C:\WINDOWS\Temp\5362042.exe');
DeleteFile('C:\WINDOWS\Temp\5675018.exe');
DeleteFile('C:\WINDOWS\Temp\931374.exe');
DeleteFile('C:\WINDOWS\Temp\9713855.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(13);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
46
ComboFix
Вложения
Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\documents and settings\Катя\Local Settings\Application Data\BIT69.tmp
c:\documents and settings\Катя\Local Settings\Application Data\BIT7E.tmp
c:\documents and settings\Катя\Local Settings\Application Data\BIT6F.tmp
c:\documents and settings\Катя\Local Settings\Application Data\BIT6E.tmp
c:\documents and settings\Катя\Local Settings\Application Data\BIT72.tmp
c:\documents and settings\Катя\Local Settings\Application Data\BIT71.tmp
c:\documents and settings\Катя\Local Settings\Application Data\BIT70.tmp
c:\documents and settings\Катя\Local Settings\Application Data\BIT63.tmp
c:\documents and settings\Катя\Local Settings\Application Data\BIT5D.tmp
c:\documents and settings\Катя\Local Settings\Application Data\BIT59.tmp
c:\documents and settings\Катя\Local Settings\Application Data\BIT57.tmp
c:\documents and settings\Катя\Local Settings\Application Data\BIT61.tmp
c:\documents and settings\Катя\Local Settings\Application Data\BIT5A.tmp
c:\documents and settings\Катя\Local Settings\Application Data\BIT56.tmp
c:\documents and settings\Катя\Local Settings\Application Data\BIT55.tmp
c:\documents and settings\Катя\Local Settings\Application Data\BIT54.tmp
c:\documents and settings\Катя\Local Settings\Application Data\BIT58.tmp
c:\documents and settings\Катя\Local Settings\Application Data\BIT53.tmp
c:\documents and settings\Катя\Local Settings\Application Data\BIT52.tmp
c:\documents and settings\Катя\Local Settings\Application Data\BIT4F.tmp
c:\documents and settings\Катя\Local Settings\Application Data\BIT50.tmp
c:\documents and settings\Катя\Local Settings\Application Data\BIT4D.tmp
c:\documents and settings\Катя\Local Settings\Application Data\BIT4A.tmp
c:\documents and settings\Катя\Local Settings\Application Data\BIT4E.tmp
c:\documents and settings\Катя\Local Settings\Application Data\BIT49.tmp
c:\windows\QTFont.for
c:\progra~1\Oklick\oklick.exe
Driver::
Folder::
c:\windows\update.tray-2-0
c:\windows\update.tray-2-0-lnk
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"oklick_data"=-
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt , прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
46
Вложения
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
46
thyrex , спасибо большое! Проблема решена!
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 54 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\l1rezerv.exe - Trojan.Win32.Scar.ejfa ( DrWEB: Trojan.DownLoad2.32154, BitDefender: Trojan.Generic.6348780, NOD32: Win32/TrojanDownloader.Delf.QSA trojan, AVAST4: Win32:Delf-QBF [Trj] ) c:\\windows\\sysdriver32.exe - Trojan.Win32.Scar.ejki ( DrWEB: Trojan.DownLoader4.22959, BitDefender: Trojan.Generic.KDV.303925, AVAST4: Win32:Delf-QBF [Trj] ) c:\\windows\\systemup.exe - Trojan.Win32.Scar.ergb ( DrWEB: Trojan.KillProc.11797, BitDefender: Trojan.Generic.KDV.340188, NOD32: Win32/TrojanDownloader.Delf.QVZ trojan, AVAST4: Win32:Krajabot-H [Trj] ) c:\\windows\\temp\\307353.exe - Trojan.Win32.Swisyn.bhuu ( DrWEB: Trojan.DownLoader3.31343, BitDefender: Trojan.Generic.6164633, AVAST4: Win32:Delf-QBF [Trj] ) c:\\windows\\temp\\415676.exe - Trojan.Win32.Swisyn.bgzz ( DrWEB: Trojan.DownLoader4.46912, BitDefender: Trojan.Generic.6136906, AVAST4: Win32:Delf-QBF [Trj] ) c:\\windows\\temp\\5362042.exe - Trojan.Win32.Swisyn.bgzz ( DrWEB: Trojan.DownLoader4.46912, BitDefender: Trojan.Generic.6136906, AVAST4: Win32:Delf-QBF [Trj] ) c:\\windows\\temp\\5675018.exe - Trojan.Win32.Swisyn.bgzz ( DrWEB: Trojan.DownLoader4.46912, BitDefender: Trojan.Generic.6136906, AVAST4: Win32:Delf-QBF [Trj] ) c:\\windows\\temp\\931374.exe - Trojan.Win32.Swisyn.bojm ( DrWEB: Trojan.BtcMine.3, BitDefender: Trojan.Downloader.Delf.SCA, AVAST4: Win32:Delf-QBF [Trj] ) c:\\windows\\temp\\9713855.exe - Trojan.Win32.Swisyn.bgyz ( DrWEB: Trojan.DownLoader.origin, BitDefender: Trojan.Generic.6341950, AVAST4: Win32:Delf-QBF [Trj] ) c:\\windows\\ufa\\ufa.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.a ( DrWEB: Tool.BtcMine.1 ) c:\\windows\\update.tray-2-0\\svchost.exe - Trojan-PSW.Win32.VKont.bjc ( DrWEB: BackDoor.VkBase.47, BitDefender: Generic.Malware.SFPYVdPkTkWkg.64E22ACF, AVAST4: Win32:Delf-QBF [Trj] ) c:\\windows\\update.2\\svchost.exe - Trojan.Win32.Swisyn.bsrb ( DrWEB: Trojan.Siggen3.55506, BitDefender: Trojan.Generic.7379118, AVAST4: Win32:Malware-gen ) c:\\windows\\update.5.0\\svchost.exe - Trojan.Win32.Swisyn.bsod ( DrWEB: Trojan.BtcMine.3, BitDefender: Trojan.Downloader.Delf.SCA, AVAST4: Win32:Delf-QBF [Trj] ) c:\\windows\\update.6.1\\svchost.exe - HEUR:Trojan.Win32.Generic ( DrWEB: Trojan.VkBase.44, BitDefender: Trojan.Generic.6173037, AVAST4: Win32:Malware-gen ) c:\\windows\\update.7.1\\svchostdriver.exe - Trojan.Win32.Scar.enzn ( DrWEB: Trojan.DownLoader4.46352, BitDefender: Trojan.Generic.KDV.353981, NOD32: Win32/TrojanDownloader.Delf.QRH trojan, AVAST4: Win32:Delf-QBF [Trj] ) c:\\windows\\update.8.1\\svchost.exe - Trojan.Win32.Miner.k ( DrWEB: Trojan.VkBase.92, BitDefender: Trojan.Generic.6594801, AVAST4: Win32:Delf-QBF [Trj] )
Рекомендации:
Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !