НОД пишет очистка невозможна.
Прилагаю логи.
Заранее спасибо.
virusinfo_syscheck.zip
virusinfo_syscure.zip
hijackthis.log
НОД пишет очистка невозможна.
Прилагаю логи.
Заранее спасибо.
virusinfo_syscheck.zip
virusinfo_syscure.zip
hijackthis.log
Уважаемый(ая) thug1, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Отключите Восстановление системы (Приложение 1 правил).
Выполните скрипт в AVZ (как выполнить):
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Users\porsche\AppData\Roaming\netprotocol.exe',''); DeleteFile('C:\Users\porsche\AppData\Roaming\netprotocol.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Netprotocol'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки выполните скрипт в AVZ:
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".Код:begin CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end.
Загрузитесь в безопасном режиме (как загрузиться).
Сделайте заново лог virusinfo_syscheck.zip (пункт 2 раздела Диагностика правил) и приложите в теме.
Скачайте, распакуйте и запустите TDSSKiller:
http://support.kaspersky.ru/faq/?qid=208636926
Если программа обругается на файл WINDOWS\system32\Drivers\sptd.sys, то не удаляйте его.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
quarantine.zip закачать не удалось - ошибка загрузки. данный файл уже был загружен.
Переименование файла не помогло.
TDSSKiller.2.7.11.0_12.02.2012_22.06.19_log.txt
virusinfo_syscheck.zip
Проблема решена?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Прикрепляю.
mbam-log-2012-02-13 (08-01-27).txt
Удалите в МВАМ только указанные строкиКод:C:\Users\porsche\AppData\Local\Temp\7881.tmp (Heuristics.Shuriken) -> Действие не было предпринято. c:\users\porsche\appdata\roaming\igfxtray.dat (Malware.Trace) -> Действие не было предпринято. C:\Windows\System32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Не помогло. Вирус висит в оперативной памяти
mbam-log-2012-02-13 (00-12-19).txt
Сделайте лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
сделано
ComboFix.txt
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: Driver:: DeQuarantine:: C:\Qoobox\Quarantine\c:\programdata\Microsoft\Windows\Start Menu\Programs\VKSaver\Launch VKSaver.lnk.vir C:\Qoobox\Quarantine\c:\programdata\Microsoft\Windows\Start Menu\Programs\VKSaver\Readme.lnk.vir C:\Qoobox\Quarantine\c:\programdata\Microsoft\Windows\Start Menu\Programs\VKSaver\Uninstall.lnk.vir Folder:: C:\BNkzjIFsaeYOTrW c:\users\porsche\AppData\Roaming\BNkzjIFsaeYOTrW C:\BsabYAeTOpzm9XF C:\8vcDA2rSijaSvqr Registry:: FileLook:: DirLook:: Reboot::
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
Последний раз редактировалось regist; 14.02.2012 в 01:43.
ComboFix.zip
вирус не удалился
Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt на диск С.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: c:\users\porsche\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\n1UeLACLAyI.exe Driver:: Folder:: C:\li8WjK1eDBrrc6d c:\users\porsche\AppData\Roaming\li8WjK1eDBrrc6d Registry:: FileLook:: DirLook::
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Последний раз редактировалось thyrex; 14.02.2012 в 19:09. Причина: добавил файлик
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Вирус не удален. Висит в оперативке. НОД его находит как svhost.exe (492. Но Хром уже грузится - прогресс
ComboFix.txt
Повторите ещё раз процедуру с последним скриптом (из поста №15), новый лог снова прикрепите.
+ Выполните скрипт в AVZ при наличии доступа в интернет:
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.Код:begin if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt'); If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt') Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false); ExitAVZ; end.
по окончанию лечения смените все пароли.
ComboFix.txt
Сделал все вышесказанное.
Вирус висит в оперативке.
Папки 1ZTk4anczhcsamC и li8WjK1eDBrrc6d продолжают создаваться на С каждый раз через некоторое время, после их удаления.
НОД теперь периодически находит и удалят Win32/RDPdoor32.AK
Какие будут дальнейшие указания?
После скрипта AVZ удалил все уязвимости. Больше часто встречающихся не обнаруживает
Добавлено через 57 секунд
Кстати, Хром снова перестал работать. Мозилла тоже не запускается. Сижу через сафари
Последний раз редактировалось thug1; 15.02.2012 в 17:53. Причина: Добавлено
попробуйте скачать http://www.freedrweb.com/cureit/?lng=ru и сделать полную проверку компьютера в защищённом режиме.
Уважаемый(ая) thug1, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.