Здавсвуйте.С Новым Годом.Пи запуске запускаются программы 1.tmp,браузеры тормозят.
Здавсвуйте.С Новым Годом.Пи запуске запускаются программы 1.tmp,браузеры тормозят.
Hello Crazy38, welcome aboard. Enjoy your visits.
Здравствуйте.
В указанной последовательности:
Установите все обновления безопасности, вышедшие после Service Pack 3:
http://windowsupdate.microsoft.com/
Выполните скрипт в AVZ отсюда:
http://dataforce.ru/~kad/ScanVuln.txt
Файл avz_log.txt из папки AVZ\LOG приложите в теме.
Пройдите по всем ссылкам (http:...) в avz_log.txt и установите указанные там обновления.
Выполните еще раз скрипт в http://dataforce.ru/~kad/ScanVuln.txt и убедитесь, что обновления установились.
Выполните скрипт в AVZ (как выполнить):
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\WINDOWS\chinde.exe',''); DeleteFile('C:\WINDOWS\chinde.exe'); QuarantineFile('C:\WINDOWS\system32\55.exe',''); QuarantineFile('G:\autorun.inf',''); QuarantineFile('C:\Program Files\The Path\channels\InstanceRefFromContainer.dll',''); QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\scleaner.exe',''); QuarantineFile('C:\WINDOWS\aadrive32.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe',''); QuarantineFile('C:\Documents and Settings\Jack\Application Data\Zjakaj.exe',''); DeleteFile('C:\Documents and Settings\Jack\Application Data\Zjakaj.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Zjakaj'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','zaber0'); DeleteFile('C:\WINDOWS\aadrive32.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup'); DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\scleaner.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Firewall Security Service'); DeleteFile('G:\autorun.inf'); DeleteFile('C:\WINDOWS\system32\55.exe'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); BC_Activate; RebootWindows(true); end.
После перезагрузки выполните скрипт в AVZ:
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".Код:begin CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end.
Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis и приложите в теме.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
aadriver32 запускается при старте системы
Обновления установили?
Если нет, то бороться с сетевым червем будет бесполезно.
Выполните скрипт в AVZ (как выполнить):
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\Program Files\Common Files\microsoft shared\bcsevm.lk4',''); QuarantineFile('C:\Program Files\SeaMonkey\seamonkey.exe',''); TerminateProcessByName('c:\windows\aadrive32.exe'); DeleteFile('c:\windows\aadrive32.exe'); DeleteFile('C:\Program Files\Common Files\microsoft shared\bcsevm.lk4'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\lanmanserver\Parameters','ServiceDll'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','zaber0'); DeleteFile('C:\WINDOWS\system32\32.exe'); DeleteFile('C:\WINDOWS\system32\36.scr'); DeleteFile('C:\WINDOWS\system32\47.scr'); DeleteFile('C:\WINDOWS\system32\51.exe'); DeleteFile('C:\WINDOWS\aadrive32.exe'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); BC_Activate; RebootWindows(true); end.
После перезагрузки выполните скрипт в AVZ:
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".Код:begin CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end.
Сделайте заново лог virusinfo_syscheck.zip и приложите в теме.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Да обновления установлены были перед предыдущем сообщением."Часто используемы уязвимости не обнаруженны"
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Вот
Удалите в МВАМ только указанные ниже записиКод:Обнаруженные параметры в реестре: 8 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Microsoft Driver Setup (Backdoor.IRCBot) -> Параметры: C:\WINDOWS\aadrive32.exe -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|Microsoft Driver Setup (Backdoor.IRCBot) -> Параметры: C:\WINDOWS\aadrive32.exe -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|zaber0 (Worm.Autorun.B) -> Параметры: C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Worm.AutoRun) -> Параметры: explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe,Explorer.exe -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft|option_1 (Rootkit.Agent) -> Параметры: њћ‘›Ќ–ђ‘ЊЊСњђ’ -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft|option_2 (Rootkit.Agent) -> Параметры: –‘њ“Љ›љЏћЌ‹Сќ–… -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft|option_3 (Rootkit.Agent) -> Параметры: ћЌњђЖЖСњђ’РѕЄ°·ћ†©¶Ж ”—НПСЏ—Џ -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Taskman (Trojan.Agent) -> Параметры: C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe -> Действие не было предпринято. Объекты реестра обнаружены: 2 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Taskman (Worm.Autorun.B) -> Плохо: (C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe) Хорошо: () -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Hijack.Shell) -> Плохо: (explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe,Explorer.exe) Хорошо: (Explorer.exe) -> Действие не было предпринято. Обнаруженные папки: 2 C:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> Действие не было предпринято. C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830 (Worm.AutoRun) -> Действие не было предпринято. Обнаруженные файлы: 70 C:\WINDOWS\aadrive32.exe (Backdoor.IRCBot) -> Действие не было предпринято. C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe (Worm.Autorun.B) -> Действие не было предпринято. C:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\scleaner.exe (Worm.Autorun.B) -> Действие не было предпринято. c:\documents and settings\jack\application data\zjakaj.exe (Backdoor.ngrBot) -> Действие не было предпринято. C:\Documents and Settings\Jack\Application Data\3.tmp (Trojan.Spammer) -> Действие не было предпринято. C:\Documents and Settings\Jack\Application Data\4.tmp (Backdoor.IRCBot) -> Действие не было предпринято. C:\Documents and Settings\Jack\Application Data\5.tmp (Backdoor.IRCBot) -> Действие не было предпринято. C:\Documents and Settings\Jack\Application Data\6.tmp (Trojan.Spammer) -> Действие не было предпринято. C:\Documents and Settings\Jack\Application Data\7.tmp (Backdoor.IRCBot) -> Действие не было предпринято. C:\Documents and Settings\Jack\Application Data\8.tmp (Backdoor.IRCBot) -> Действие не было предпринято. C:\Documents and Settings\Jack\Application Data\A.tmp (Backdoor.IRCBot) -> Действие не было предпринято. C:\Documents and Settings\Jack\Application Data\B.tmp (Backdoor.IRCBot) -> Действие не было предпринято. C:\Documents and Settings\Jack\Local Settings\Application Data\Google\Chrome\User Data\Default\old_Cache_000\f_000882 (Trojan.FakeSMS) -> Действие не было предпринято. C:\Documents and Settings\Jack\Local Settings\Temporary Internet Files\Content.IE5\MJ4QKRML\ngt[1].exe (Backdoor.ngrBot) -> Действие не было предпринято. C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\85EFUREB\iii[1].exe (Trojan.Agent) -> Действие не было предпринято. C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\85EFUREB\t[1].exe (Backdoor.IRCBot) -> Действие не было предпринято. C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\S3GXE3E7\t[1].exe (Backdoor.IRCBot) -> Действие не было предпринято. C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\UR4XCNCX\t[1].exe (Backdoor.IRCBot) -> Действие не было предпринято. C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\UR4XCNCX\t[2].exe (Backdoor.IRCBot) -> Действие не было предпринято. E:\RECYCLER\e5188982.exe (Backdoor.ngrBot) -> Действие не было предпринято. F:\avz4\Quarantine\2012-01-06\avz00001.dta (Trojan.Agent) -> Действие не было предпринято. F:\avz4\Quarantine\2012-01-06\avz00002.dta (Backdoor.IRCBot) -> Действие не было предпринято. F:\avz4\Quarantine\2012-01-06\avz00005.dta (Backdoor.IRCBot) -> Действие не было предпринято. F:\avz4\Quarantine\2012-01-06\avz00006.dta (Backdoor.IRCBot) -> Действие не было предпринято. F:\avz4\Quarantine\2012-01-06\avz00007.dta (Backdoor.ngrBot) -> Действие не было предпринято. C:\Documents and Settings\Jack\Local Settings\temp\0.31001683492173104.exe (Exploit.Drop.2) -> Действие не было предпринято. C:\WINDOWS\logfile32.txt (Malware.Trace) -> Действие не было предпринято. C:\Documents and Settings\Jack\0.4606694077447425.exe (Trojan.Agent.Gen) -> Действие не было предпринято. C:\Documents and Settings\Jack\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято. C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято. C:\Documents and Settings\Jack\Local Settings\temp\ms0cfg32.exe (Exploit.Drop.CFG) -> Действие не было предпринято. C:\Documents and Settings\Jack\Application Data\9.tmp (Trojan.Generic) -> Действие не было предпринято. C:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Worm.AutoRun.Gen) -> Действие не было предпринято. C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\Desktop.ini (Worm.AutoRun) -> Действие не было предпринято.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Всё сделанно прилогаю Логи.
А кто просил эти логи? Нужен лог МВАМ после удаления )
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
вот
Удалите в MBAM:
Что с проблемами?Код:G:\backup C win 7\avz\avz4\avz4\Infected\2011-07-24\avz00001.dta (Trojan.Agent.CK) -> Действие не было предпринято. G:\backup C win 7\avz\avz4\avz4\Infected\2011-07-24\avz00002.dta (Trojan.Agent.CK) -> Действие не было предпринято. G:\backup C win 7\Travis\AppData\Local\Temp\TrnAss.tmp (Trojan.FakeAlert) -> Действие не было предпринято. G:\backup C win 7\Travis\DoctorWeb\Quarantine\66_____0.tmp (Spyware.Passwords.XGen) -> Действие не было предпринято. G:\backup C win 7\Travis\DoctorWeb\Quarantine\6B_____0.tmp (Spyware.Passwords.XGen) -> Действие не было предпринято. G:\backup C win 7\Travis\DoctorWeb\Quarantine\74_____0.tmp (Spyware.Passwords.XGen) -> Действие не было предпринято. G:\backup C win 7\Travis\DoctorWeb\Quarantine\A0000240.exe (HackTool.GamesCheat) -> Действие не было предпринято. G:\backup C win 7\Travis\DoctorWeb\Quarantine\A0016840.exe (Spyware.Passwords) -> Действие не было предпринято. G:\backup C win 7\Travis\DoctorWeb\Quarantine\A0016841.exe (Spyware.Passwords) -> Действие не было предпринято. G:\backup C win 7\Travis\DoctorWeb\Quarantine\A0020940.exe (Spyware.Passwords) -> Действие не было предпринято. G:\backup C win 7\Travis\DoctorWeb\Quarantine\A0020950.exe (Malware.Packer.Gen) -> Действие не было предпринято. G:\backup C win 7\Travis\DoctorWeb\Quarantine\A0020980.exe (Malware.Packer.Gen) -> Действие не было предпринято. G:\backup C win 7\Travis\DoctorWeb\Quarantine\asx-dw60.exe (Malware.Packer.Gen) -> Действие не было предпринято. G:\backup C win 7\Travis\DoctorWeb\Quarantine\asx-lpc-102_with_xlive-31991.exe (Malware.Packer.Gen) -> Действие не было предпринято. G:\backup C win 7\Travis\DoctorWeb\Quarantine\a______0.exe (Spyware.Passwords) -> Действие не было предпринято. G:\backup C win 7\Travis\DoctorWeb\Quarantine\Call_of_Duty_Modern_Warfare_2_SP_1.0___5_Traine1.exe (HackTool.GamesCheat) -> Действие не было предпринято. G:\backup C win 7\Travis\DoctorWeb\Quarantine\forum[11 (Spyware.Passwords) -> Действие не было предпринято. G:\backup C win 7\Travis\DoctorWeb\Quarantine\forum[21 (Spyware.Passwords) -> Действие не было предпринято. G:\backup C win 7\Travis\DoctorWeb\Quarantine\forum[30 (Spyware.Passwords.XGen) -> Действие не было предпринято. G:\backup C win 7\Travis\DoctorWeb\Quarantine\mstsc__0.exe (Spyware.Passwords) -> Действие не было предпринято. G:\backup C win 7\Users\Travis\DoctorWeb\Quarantine\66_____0.tmp (Spyware.Passwords.XGen) -> Действие не было предпринято. G:\backup C win 7\Users\Travis\DoctorWeb\Quarantine\6B_____0.tmp (Spyware.Passwords.XGen) -> Действие не было предпринято. G:\backup C win 7\Users\Travis\DoctorWeb\Quarantine\74_____0.tmp (Spyware.Passwords.XGen) -> Действие не было предпринято. G:\backup C win 7\Users\Travis\DoctorWeb\Quarantine\A0000240.exe (HackTool.GamesCheat) -> Действие не было предпринято. G:\backup C win 7\Users\Travis\DoctorWeb\Quarantine\A0016840.exe (Spyware.Passwords) -> Действие не было предпринято. G:\backup C win 7\Users\Travis\DoctorWeb\Quarantine\A0016841.exe (Spyware.Passwords) -> Действие не было предпринято. G:\backup C win 7\Users\Travis\DoctorWeb\Quarantine\A0020940.exe (Spyware.Passwords) -> Действие не было предпринято. G:\backup C win 7\Users\Travis\DoctorWeb\Quarantine\A0020950.exe (Malware.Packer.Gen) -> Действие не было предпринято. G:\backup C win 7\Users\Travis\DoctorWeb\Quarantine\A0020980.exe (Malware.Packer.Gen) -> Действие не было предпринято. G:\backup C win 7\Users\Travis\DoctorWeb\Quarantine\asx-dw60.exe (Malware.Packer.Gen) -> Действие не было предпринято. G:\backup C win 7\Users\Travis\DoctorWeb\Quarantine\asx-lpc-102_with_xlive-31991.exe (Malware.Packer.Gen) -> Действие не было предпринято. G:\backup C win 7\Users\Travis\DoctorWeb\Quarantine\a______0.exe (Spyware.Passwords) -> Действие не было предпринято. G:\backup C win 7\Users\Travis\DoctorWeb\Quarantine\Call_of_Duty_Modern_Warfare_2_SP_1.0___5_Traine1.exe (HackTool.GamesCheat) -> Действие не было предпринято. G:\backup C win 7\Users\Travis\DoctorWeb\Quarantine\forum[11 (Spyware.Passwords) -> Действие не было предпринято. G:\backup C win 7\Users\Travis\DoctorWeb\Quarantine\forum[21 (Spyware.Passwords) -> Действие не было предпринято. G:\backup C win 7\Users\Travis\DoctorWeb\Quarantine\forum[30 (Spyware.Passwords.XGen) -> Действие не было предпринято. G:\backup C win 7\Users\Travis\DoctorWeb\Quarantine\mstsc__0.exe (Spyware.Passwords) -> Действие не было предпринято. G:\disk C\Jack\Local Settings\Application Data\Google\Chrome\User Data\Default\old_Cache_000\f_000882 (Trojan.FakeSMS) -> Действие не было предпринято. G:\disk C\Jack\Local Settings\temp\277.tmp (Trojan.Downloader) -> Действие не было предпринято.
Спасибо.Всё работает нормально.Нет постороних процессов в диспетчере.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 29
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\jack\\application data\\zjakaj.exe - Backdoor.Win32.Inject.wps ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Gen:Variant.Kazy.52214, AVAST4: Win32:FakeAlert-BVT [Trj] )
- c:\\program files\\common files\\microsoft shared\\bcsevm.lk4 - Trojan-Dropper.Win32.Metel.d ( DrWEB: BackDoor.Siggen.33484, BitDefender: Trojan.Drooper.Meteit.B, NOD32: Win32/Corkow.B trojan, AVAST4: Win32:Crypt-LME [Drp] )
- c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1830\\zaberg.exe - Trojan.Win32.Jorik.Lethic.ef ( DrWEB: BackDoor.Siggen.637, BitDefender: Gen:Variant.Kazy.51637, AVAST4: Win32:FakeAlert-BVT [Trj] )
- c:\\windows\\aadrive32.exe - Net-Worm.Win32.Kolab.bcnn ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Win32.Worm.Kolab.BG, NOD32: IRC/SdBot trojan, AVAST4: Win32:FakeAlert-BVT [Trj] )
- c:\\windows\\chinde.exe - Trojan.Win32.Jorik.SdBot.zj ( DrWEB: Win32.HLLW.Autoruner1.10611, BitDefender: Trojan.Generic.KDV.502581, NOD32: Win32/AutoRun.IRCBot.FC worm, AVAST4: Win32:Jorik-FB [Trj] )
- c:\\windows\\system32\\55.exe - Trojan.Win32.Jorik.IRCbot.fvj ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Kazy.51637, AVAST4: Win32:FakeAlert-BVT [Trj] )
Уважаемый(ая) Crazy38, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.