-
Junior Member
- Вес репутации
- 55
После лечения ПК ведет странно
Производилось лечение ПК после заражения. Лечилось все KAVом. После лечения все работало нормально. Так же после лечения была установлена версия KAV 2012. Теперь по истечении некоторого времени стали происходить странные вещи. 1. После ошибки RUNDLL ошибка при загрузке basegui.ppl, перестают функционировать браузеры. Так же начинает жутко задумываться в диспетчере ничего не видно. Максимальная загрузка процессора 21%. Логи прилагаю.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) crazytosser, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\manager\Application Data\archsoft\archstart.exe','');
QuarantineFile('C:\WINDOWS\system32\0424.tmp','');
DeleteService('qeqeugfe');
QuarantineFile('C:\WINDOWS\system32\0266.tmp','');
DeleteService('ejygcqqse');
QuarantineFile('C:\WINDOWS\system32\0E8.tmp','');
DeleteService('aduqdb');
DeleteFile('C:\WINDOWS\system32\0E8.tmp');
DeleteFile('C:\WINDOWS\system32\0266.tmp');
DeleteFile('C:\WINDOWS\system32\0424.tmp');
DeleteFile('C:\Documents and Settings\manager\Application Data\archsoft\archstart.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Сделайте лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Карантин прислал. Новые логи прикрепляю. Лог mbam и gmer. Будут чуть позже.
-
Junior Member
- Вес репутации
- 55
Обещанные логи Gmer и mbam. Жду ответов.
-
1. Откройте Блокнот и скопируйте в него текст скрипта
Код:
u1b0zowc.exe -del service xmjcz
u1b0zowc.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\xmjcz"
u1b0zowc.exe -reboot
2. Нажмите Файл - Сохранить как
3. Выберите папку, в которую сохранили u1b0zowc.exe (gmer)
4. Укажите Тип файла - Все файлы (*.*)
5. Введите имя файла cleanup.bat и нажмите кнопку Сохранить
6. Запустите cleanup.bat
ВНИМАНИЕ: Компьютер перезагрузится!!!
Сделайте новый лог gmer
Удалите в МВАМ только указанные строки
Код:
Зараженные ключи в реестре:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken.
Зараженные папки:
c:\documents and settings\manager\application data\archsoft (Trojan.Agent) -> No action taken.
Зараженные файлы:
d:\!old_C\documents and settings\manager\local settings\Temp\E_4\com.run (Trojan.Agent) -> No action taken.
d:\!old_C\documents and settings\manager\local settings\Temp\E_4\dp1.fne (Worm.Autorun) -> No action taken.
d:\!old_C\documents and settings\manager\local settings\Temp\E_4\eAPI.fne (Worm.AutoRun) -> No action taken.
d:\!old_C\documents and settings\manager\local settings\Temp\E_4\internet.fne (Trojan.Agent) -> No action taken.
d:\!old_C\documents and settings\manager\local settings\Temp\E_4\krnln.fnr (Worm.Autorun) -> No action taken.
d:\!old_C\documents and settings\manager\local settings\Temp\E_4\RegEx.fne (Worm.Autorun) -> No action taken.
d:\!old_C\documents and settings\manager\local settings\Temp\E_4\shell.fne (Worm.AutoRun) -> No action taken.
d:\!old_C\documents and settings\Priemka\local settings\Temp\E_4\com.run (Trojan.Agent) -> No action taken.
d:\!old_C\documents and settings\Priemka\local settings\Temp\E_4\dp1.fne (Worm.Autorun) -> No action taken.
d:\!old_C\documents and settings\Priemka\local settings\Temp\E_4\eAPI.fne (Worm.AutoRun) -> No action taken.
d:\!old_C\documents and settings\Priemka\local settings\Temp\E_4\internet.fne (Trojan.Agent) -> No action taken.
d:\!old_C\documents and settings\Priemka\local settings\Temp\E_4\krnln.fnr (Worm.Autorun) -> No action taken.
d:\!old_C\documents and settings\Priemka\local settings\Temp\E_4\RegEx.fne (Worm.Autorun) -> No action taken.
d:\!old_C\documents and settings\Priemka\local settings\Temp\E_4\shell.fne (Worm.AutoRun) -> No action taken.
d:\!old_C\documents and settings\user\local settings\Temp\E_4\com.run (Trojan.Agent) -> No action taken.
d:\!old_C\documents and settings\user\local settings\Temp\E_4\dp1.fne (Worm.Autorun) -> No action taken.
d:\!old_C\documents and settings\user\local settings\Temp\E_4\eAPI.fne (Worm.AutoRun) -> No action taken.
d:\!old_C\documents and settings\user\local settings\Temp\E_4\internet.fne (Trojan.Agent) -> No action taken.
d:\!old_C\documents and settings\user\local settings\Temp\E_4\krnln.fnr (Worm.Autorun) -> No action taken.
d:\!old_C\documents and settings\user\local settings\Temp\E_4\RegEx.fne (Worm.Autorun) -> No action taken.
d:\!old_C\documents and settings\user\local settings\Temp\E_4\shell.fne (Worm.AutoRun) -> No action taken.
d:\!old_C\WINDOWS\system32\com.run (Trojan.Agent) -> No action taken.
d:\!old_C\WINDOWS\system32\dp1.fne (Worm.Autorun) -> No action taken.
d:\!old_C\WINDOWS\system32\eAPI.fne (Worm.AutoRun) -> No action taken.
d:\!old_C\WINDOWS\system32\internet.fne (Trojan.Agent) -> No action taken.
d:\!old_C\WINDOWS\system32\krnln.fnr (Worm.Autorun) -> No action taken.
d:\!old_C\WINDOWS\system32\RegEx.fne (Worm.Autorun) -> No action taken.
d:\!old_C\WINDOWS\system32\shell.fne (Worm.AutoRun) -> No action taken.
c:\documents and settings\manager\application data\archsoft\rubashka.css (Trojan.Agent) -> No action taken.
c:\documents and settings\manager\application data\archsoft\bander.png (Trojan.Agent) -> No action taken.
c:\documents and settings\manager\application data\archsoft\dir.png (Trojan.Agent) -> No action taken.
c:\documents and settings\manager\application data\archsoft\dot.gif (Trojan.Agent) -> No action taken.
c:\documents and settings\manager\application data\archsoft\htmlayout.dll (Trojan.Agent) -> No action taken.
c:\documents and settings\manager\application data\archsoft\logo.png (Trojan.Agent) -> No action taken.
c:\documents and settings\manager\application data\archsoft\logo2.png (Trojan.Agent) -> No action taken.
c:\documents and settings\manager\application data\archsoft\sb-h-scroll-next.png (Trojan.Agent) -> No action taken.
c:\documents and settings\manager\application data\archsoft\sb-h-scroll-prev.png (Trojan.Agent) -> No action taken.
c:\documents and settings\manager\application data\archsoft\sb-scroll-back.png (Trojan.Agent) -> No action taken.
c:\documents and settings\manager\application data\archsoft\sb-scroll-base.png (Trojan.Agent) -> No action taken.
c:\documents and settings\manager\application data\archsoft\sb-scroll-slider.png (Trojan.Agent) -> No action taken.
c:\documents and settings\manager\application data\archsoft\sb-v-scroll-next.png (Trojan.Agent) -> No action taken.
c:\documents and settings\manager\application data\archsoft\sb-v-scroll-prev.png (Trojan.Agent) -> No action taken.
c:\documents and settings\manager\application data\archsoft\scroll.css (Trojan.Agent) -> No action taken.
c:\documents and settings\manager\application data\archsoft\wfont.ttf (Trojan.Agent) -> No action taken.
c:\documents and settings\manager\application data\archsoft\winzipo.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\manager\application data\archsoft\xsendexe.tmp (Trojan.Agent) -> No action taken.
c:\documents and settings\manager\application data\archsoft\_todel.png (Trojan.Agent) -> No action taken.
c:\documents and settings\manager\application data\archsoft\_todel2.png (Trojan.Agent) -> No action taken.
c:\documents and settings\manager\application data\archsoft\_todel3.png (Trojan.Agent) -> No action taken.
c:\documents and settings\manager\application data\archsoft\_todel4.png (Trojan.Agent) -> No action taken.
c:\documents and settings\manager\application data\archsoft\_todel5.png (Trojan.Agent) -> No action taken.
c:\documents and settings\manager\application data\archsoft\_todel6.png (Trojan.Agent) -> No action taken.
c:\documents and settings\manager\application data\archsoft\_todel7.png (Trojan.Agent) -> No action taken.
c:\documents and settings\manager\application data\archsoft\_todel8.png (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
День добрый. Новый лог gmer. Жду ответа, заранее благодарен.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 9
- В ходе лечения вредоносные программы в карантинах не обнаружены
-