добрый вечер всем!
давно сюда не обращался)) ибо не было повода тьфу тьфу тьфу )))
пишу с ноута друга
жалуется на вирусы и синие экраны
прошу помочь в лечении )
заранее спасибо
добрый вечер всем!
давно сюда не обращался)) ибо не было повода тьфу тьфу тьфу )))
пишу с ноута друга
жалуется на вирусы и синие экраны
прошу помочь в лечении )
заранее спасибо
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) korj1985, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Users\zhakhiny\exlog.exe',''); QuarantineFile('C:\Documents and Settings\zhakhiny\exlog.exe',''); QuarantineFile('C:\Users\zhakhiny\AppData\Roaming\chrome.exe',''); QuarantineFile('C:\Users\zhakhiny\AppData\Roaming\java.exe',''); QuarantineFile('C:\Users\zhakhiny\AppData\Roaming\firefox.exe',''); TerminateProcessByName('c:\users\zhakhiny\axlog.exe'); TerminateProcessByName('c:\users\zhakhiny\fdzax.exe'); QuarantineFile('C:\Users\zhakhiny\AppData\Roaming\Microsoft\6DB3\66C.exe',''); QuarantineFile('C:\Users\zhakhiny\AppData\Roaming\76714\lvvm.exe',''); QuarantineFile('C:\Users\zhakhiny\AppData\Local\795c1f6e\X',''); TerminateProcessByName('c:\program files (x86)\lp\6db3\66c.exe'); QuarantineFile('c:\users\zhakhiny\appdata\roaming\76714\lvvm.exe',''); QuarantineFile('c:\users\zhakhiny\fdzax.exe',''); QuarantineFile('c:\users\zhakhiny\axlog.exe',''); QuarantineFile('c:\program files (x86)\lp\6db3\66c.exe',''); DeleteFile('c:\users\zhakhiny\appdata\roaming\76714\lvvm.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','66C.exe'); DeleteFile('C:\Users\zhakhiny\AppData\Local\795c1f6e\X'); DeleteFile('C:\Users\zhakhiny\AppData\Roaming\76714\lvvm.exe'); DeleteFile('C:\Users\zhakhiny\AppData\Roaming\Microsoft\6DB3\66C.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','66C.exe'); DeleteFile('C:\Users\zhakhiny\fdzax.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','fdzax'); DeleteFile('c:\users\zhakhiny\axlog.exe'); DeleteFile('C:\Documents and Settings\zhakhiny\exlog.exe'); DeleteFile('C:\Users\zhakhiny\exlog.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
все сделал
заметил, что после выполнения скрипта и перезагрузки файрфокс не выходил в инет по причине какого-то прокси
прокси удалил
Пофиксите в HiJack
Выполните скрипт в AVZКод:R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:63960
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Users\zhakhiny\boamiw.exe',''); TerminateProcessByName('c:\program files (x86)\76714\lvvm.exe'); TerminateProcessByName('c:\users\zhakhiny\spkpod\lrpod.exe'); QuarantineFile('c:\users\zhakhiny\spkpod\lrpod.exe',''); TerminateProcessByName('c:\users\zhakhiny\calc.exe'); QuarantineFile('c:\users\zhakhiny\calc.exe',''); TerminateProcessByName('c:\users\zhakhiny\bpod.exe'); QuarantineFile('c:\users\zhakhiny\bpod.exe',''); TerminateProcessByName('c:\users\zhakhiny\boamiw.exe'); QuarantineFile('c:\users\zhakhiny\boamiw.exe',''); TerminateProcessByName('c:\users\zhakhiny\spkpod\arpod.exe'); QuarantineFile('c:\users\zhakhiny\spkpod\arpod.exe',''); TerminateProcessByName('c:\users\zhakhiny\apod.exe'); TerminateProcessByName('c:\windows\temp\afp64.exe'); QuarantineFile('c:\windows\temp\afp64.exe',''); TerminateProcessByName('c:\users\zhakhiny\appdata\roaming\3a876\5176d.exe'); DeleteFile('c:\users\zhakhiny\appdata\roaming\3a876\5176d.exe'); DeleteFile('c:\windows\temp\afp64.exe'); DeleteFile('c:\users\zhakhiny\apod.exe'); DeleteFile('c:\users\zhakhiny\spkpod\arpod.exe'); DeleteFile('c:\users\zhakhiny\boamiw.exe'); DeleteFile('c:\users\zhakhiny\bpod.exe'); DeleteFile('c:\users\zhakhiny\calc.exe'); DeleteFile('c:\users\zhakhiny\spkpod\lrpod.exe'); DeleteFile('c:\program files (x86)\76714\lvvm.exe'); DeleteFile('C:\Program Files (x86)\LP\6DB3\66C.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','66C.exe'); DeleteFile('C:\Users\zhakhiny\boamiw.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','boamiw'); DeleteFile('C:\Users\zhakhiny\AppData\Roaming\chrome.exe'); DeleteFile('C:\Windows\Tasks\At1.job'); DeleteFile('C:\Windows\Tasks\At10.job'); DeleteFile('C:\Windows\Tasks\At11.job'); DeleteFile('C:\Users\zhakhiny\AppData\Roaming\firefox.exe'); DeleteFile('C:\Windows\Tasks\At12.job'); DeleteFile('C:\Windows\Tasks\At13.job'); DeleteFile('C:\Windows\Tasks\At14.job'); DeleteFile('C:\Users\zhakhiny\AppData\Roaming\java.exe'); DeleteFile('C:\Windows\Tasks\At15.job'); DeleteFile('C:\Windows\Tasks\At16.job'); DeleteFile('C:\Windows\Tasks\At17.job'); DeleteFile('C:\Windows\Tasks\At18.job'); DeleteFile('C:\Windows\Tasks\At19.job'); DeleteFile('C:\Windows\Tasks\At2.job'); DeleteFile('C:\Windows\Tasks\At3.job'); DeleteFile('C:\Windows\Tasks\At4.job'); DeleteFile('C:\Windows\Tasks\At5.job'); DeleteFile('C:\Windows\Tasks\At6.job'); DeleteFile('C:\Windows\Tasks\At7.job'); DeleteFile('C:\Windows\Tasks\At8.job'); DeleteFile('C:\Windows\Tasks\At9.job'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteREpair(13); RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
добрый вечер
прилагаю логи
файл отправил
Здравствуйте.
Удалите в MBAM:
Сделайте повторные логи.Код:Зараженные процессы в памяти: c:\Users\zhakhiny\quibu.exe (Backdoor.Bot) -> 2788 -> No action taken. Зараженные параметры в реестре: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\quibu (Backdoor.Bot) -> Value: quibu -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Backdoor.Agent) -> Value: Shell -> No action taken. Зараженные файлы: c:\Users\zhakhiny\quibu.exe (Backdoor.Bot) -> No action taken. c:\Users\zhakhiny\ana7e3.exe (Trojan.Downloader) -> No action taken. c:\Users\zhakhiny\avat.exe (Trojan.Lvbp) -> No action taken. c:\Users\zhakhiny\bocow.exe (Backdoor.Bot) -> No action taken. c:\Users\zhakhiny\bstat.exe (Trojan.Dropper.PE4) -> No action taken. c:\Users\zhakhiny\bvat.exe (Trojan.Dropper.PE4) -> No action taken. c:\Users\zhakhiny\bxlog.exe (Trojan.Dropper.PE4) -> No action taken. c:\Users\zhakhiny\cvat.exe (Spyware.Password) -> No action taken. c:\Users\zhakhiny\cxlog.exe (Trojan.Agent.PE3) -> No action taken. c:\Users\zhakhiny\daulix.exe (Backdoor.Bot) -> No action taken. c:\Users\zhakhiny\dpod.exe (Trojan.Lvbp) -> No action taken. c:\Users\zhakhiny\dstat.exe (Trojan.Lvbp) -> No action taken. c:\Users\zhakhiny\dvat.exe (Trojan.Lvbp) -> No action taken. c:\Users\zhakhiny\epod.exe (Trojan.Lvbp) -> No action taken. c:\Users\zhakhiny\evat.exe (Trojan.Lvbp) -> No action taken. c:\Users\zhakhiny\luulam.exe (Trojan.Lvbp) -> No action taken. c:\Users\zhakhiny\noohut.exe (Trojan.Downloader.ic) -> No action taken. c:\Users\zhakhiny\NQ5A0B.exe (Backdoor.Bot) -> No action taken. c:\Users\zhakhiny\rluc.exe (Backdoor.Bot) -> No action taken. c:\Users\zhakhiny\roejan.exe (Trojan.Lvbp) -> No action taken. c:\Users\zhakhiny\sgoq.exe (Trojan.Lvbp) -> No action taken. c:\Users\zhakhiny\vouqn.exe (Backdoor.Bot) -> No action taken. c:\Users\zhakhiny\y26f0s.exe (Trojan.Agent) -> No action taken. c:\Users\zhakhiny\AppData\Local\microsoft\Windows\temporary internet files\Content.IE5\16QCDP1G\gal5[1].swf (Trojan.Dropper) -> No action taken. c:\Users\zhakhiny\AppData\Roaming\microsoft\6DB3\229E.tmp (Trojan.Dropper.PE4) -> No action taken. d:\Foto\kokzhailau 25.12.2011.exe (Backdoor.Bot) -> No action taken.
все сделал
логи прилагаю
А лог МВАМ после удаления где?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
запамятовал)
прикрепляю логи после чистки
Сделайте лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 10
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\zhakhiny\\exlog.exe - Trojan-Downloader.Win32.Genome.cwzi ( DrWEB: Trojan.DownLoader5.26725, BitDefender: Trojan.Generic.7063931, AVAST4: Win32:Dropper-gen [Drp] )
- c:\\program files (x86)\\lp\\6db3\\66c.exe - Trojan.Win32.FraudPack.czuc ( DrWEB: BackDoor.Gbot.2017, BitDefender: Gen:Variant.Kazy.49699, AVAST4: Win32:Cybota [Trj] )
- c:\\users\\zhakhiny\\appdata\\local\\795c1f6e\\x - Backdoor.Win64.ZAccess.aq ( DrWEB: BackDoor.Maxplus.466, BitDefender: Trojan.Sirefef.AG, NOD32: Win64/Sirefef.K trojan, AVAST4: Win32:Sirefef-JQ [Trj] )
- c:\\users\\zhakhiny\\appdata\\roaming\\firefox.exe - Trojan.Win32.FraudPack.czuc ( DrWEB: BackDoor.Gbot.2017, BitDefender: Gen:Variant.Kazy.49699, AVAST4: Win32:Cybota [Trj] )
- c:\\users\\zhakhiny\\appdata\\roaming\\java.exe - Trojan.Win32.FraudPack.czuc ( DrWEB: BackDoor.Gbot.2017, BitDefender: Gen:Variant.Kazy.49699, AVAST4: Win32:Cybota [Trj] )
- c:\\users\\zhakhiny\\appdata\\roaming\\microsoft\\ 6db3\\66c.exe - Trojan.Win32.Menti.jzha ( DrWEB: BackDoor.Gbot.2028, BitDefender: Gen:Heur.Conjar.9, AVAST4: Win32:Cybota [Trj] )
- c:\\users\\zhakhiny\\appdata\\roaming\\76714\\lvvm .exe - Trojan.Win32.Menti.jzjs ( DrWEB: BackDoor.Gbot.2000, BitDefender: Gen:Variant.Kazy.50101, AVAST4: Win32:Cybota [Trj] )
- c:\\users\\zhakhiny\\axlog.exe - Trojan.Win32.Diple.dwth ( DrWEB: Win32.HLLW.Facebook.1005, BitDefender: Trojan.Generic.KDV.491818, NOD32: Win32/Videspra.AF worm, AVAST4: Win32:Downloader-LYJ [Trj] )
- c:\\users\\zhakhiny\\exlog.exe - Trojan-Downloader.Win32.Genome.cwzi ( DrWEB: Trojan.DownLoader5.26725, BitDefender: Trojan.Generic.7063931, AVAST4: Win32:Dropper-gen [Drp] )
Уважаемый(ая) korj1985, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
