После лечения пропал интернет, а локалка есть.
winsockxpfix не помог.
логи прилагаются
в hosts только одна строчка 127.0.0.1 localhost
После лечения пропал интернет, а локалка есть.
winsockxpfix не помог.
логи прилагаются
в hosts только одна строчка 127.0.0.1 localhost
Уважаемый(ая) celebithil, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ (как выполнить):
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\wudfhost.exe',''); QuarantineFile('C:\WINDOWS\TEMP\js83kgso.exe',''); QuarantineFile('C:\WINDOWS\TEMP\fidr4e7fox.exe',''); QuarantineFile('C:\WINDOWS\TEMP\dji63rgw.exe',''); QuarantineFile('C:\WINDOWS\TEMP\VRT5.tmp',''); QuarantineFile('C:\Documents and Settings\Наталья\rr8h.exe',''); QuarantineFile('C:\Documents and Settings\Наталья\mamwrfmoao.exe',''); QuarantineFile('C:\Documents and Settings\Наталья\Application Data\manager.exe',''); QuarantineFile('C:\Documents and Settings\Наталья\Application Data\lssas.exe',''); QuarantineFile('C:\Documents and Settings\Наталья\Application Data\dfhbt3y.exe',''); QuarantineFile('C:\Documents and Settings\Наталья\665.exe',''); QuarantineFile('C:\Documents and Settings\Наталья\1rr9w03uml.exe',''); QuarantineFile('C:\WINDOWS\TEMP\bhuj4rtjr.bat',''); QuarantineFile('C:\Documents and Settings\Наталья\Application Data\MouseDriver.bat',''); QuarantineFile('C:\WINDOWS\TEMP\k4ani0dvf.bat',''); QuarantineFile('C:\WINDOWS\TEMP\fyt9u4usg.bat',''); QuarantineFile('C:\Documents and Settings\Наталья\Application Data\LocalAccountAuthority.bat',''); DeleteFile('C:\Documents and Settings\Наталья\1rr9w03uml.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','1rr9w03uml'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','1rr9w03uml'); DeleteFile('C:\Documents and Settings\Наталья\665.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','665'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','665'); DeleteFile('C:\Documents and Settings\Наталья\Application Data\dfhbt3y.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','38t2'); DeleteFile('C:\Documents and Settings\Наталья\Application Data\lssas.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Local Account Service'); DeleteFile('C:\Documents and Settings\Наталья\Application Data\manager.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Plug Manager'); DeleteFile('C:\Documents and Settings\Наталья\mamwrfmoao.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','mamwrfmoao'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','mamwrfmoao'); DeleteFile('C:\Documents and Settings\Наталья\rr8h.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','rr8h'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','rr8h'); DeleteFile('C:\WINDOWS\TEMP\VRT5.tmp'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','tcpudp'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','tcpudp'); DeleteFile('C:\WINDOWS\TEMP\dji63rgw.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Network Device'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Network Device'); DeleteFile('C:\WINDOWS\TEMP\fidr4e7fox.exe'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Firefox update'); DeleteFile('C:\WINDOWS\TEMP\js83kgso.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Chrome update'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Chrome update'); ExecuteWizard('SCU', 2, 2, true); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки выполните скрипт в AVZ:
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".Код:begin CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end.
Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis и приложите в теме.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
выполнил скрипты, загрузил карантин. Интернет не появился.
логи сделал.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('Network Driver'); DeleteService('MouseDriver'); DeleteService('Local Account Authority Service'); DeleteService('Firefox update'); DeleteService('Chrome update'); DeleteFile('C:\WINDOWS\TEMP\k4ani0dvf.bat'); DeleteFile('C:\WINDOWS\TEMP\fyt9u4usg.bat'); DeleteFile('C:\Documents and Settings\Наталья\Application Data\LocalAccountAuthority.bat'); DeleteFile('C:\Documents and Settings\Наталья\Application Data\MouseDriver.bat'); DeleteFile('C:\WINDOWS\TEMP\bhuj4rtjr.bat'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
выполнил скрипт. интернет не появился.
логи прикрепил.
есть подозрение, что вирус повредил какие-то dll. т.к. для включения Установка и удаление программ -> Установка компонентов Windows
пришлось доставлять несколько dll и inf с дистрибутива
Удалите в МВАМ только указанные строкиКод:Зараженные ключи в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\tgs90gv74r (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDORSYS (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{ffffffff-F03B-4b40-A3D0-F62E04DD1C09} (Trojan.Ransom) -> No action taken. Зараженные параметры в реестре: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\win (Trojan.Agent) -> Value: win -> No action taken. HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\init (Trojan.Agent) -> Value: init -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
В MBAM строки удалил. интернет есть (может быть и раньше был), как выяснилось не работает DNS, пингуется гугловый DNS.
ipconfig /flushdns, замена DNS на гугловый и переустановка оперы ничего не изменили. Что можно сделать?
Пофиксите в Hijack
Больше необычного не видноКод:O20 - AppInit_DLLs:
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
DNS так и не заработал.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) celebithil, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.