Junior Member
Вес репутации
45
Не открываются некоторые сайты, на диске С созданы неудаляемые папки
Не открываются некоторые сайты, например www.kaspersky.ru , не запускается скачанная утилита Dr.Web CureIt, на диске создана папка 1, в ней подпапки amd64 и i386, которые не удаляются, периодически вылетают ошибки, типа 6.tmp и т.д. HijackThis без переименования тоже не запустился.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) mlan82 , спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи .
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект .
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe','');
QuarantineFile('C:\Documents and Settings\дом\Application Data\Crhhhj.exe','');
DeleteFile('C:\Documents and Settings\дом\Application Data\Crhhhj.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','zaber0');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Crhhhj');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог gmer
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
45
Карантин выслал
При запуске gmer начинается перезагрузка системы
Лог mbam mbam-log-2012-03-12 (22-41-23).txt
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\NetworkService.NT AUTHORITY.007\Local Settings\Temporary Internet Files\Content.IE5\X3VDY46E\zsdzwqt[1].gif', 'MBAM: Extension.Mismatch');
QuarantineFile('C:\Documents and Settings\миша\Application Data\netprotocol.exe', 'MBAM: Spyware.Passwords.XGen');
QuarantineFile('C:\Documents and Settings\миша\DoctorWeb\Quarantine\9D.tmp', 'MBAM: Spyware.Passwords.XGen');
QuarantineFile('C:\Documents and Settings\миша\DoctorWeb\Quarantine\aorgj[1].jpg', 'MBAM: Extension.Mismatch');
QuarantineFile('C:\Documents and Settings\миша\Local Settings\Temp\jar_cache4600260919044698628.tmp', 'MBAM: Spyware.Passwords.XGen');
QuarantineFile('C:\Documents and Settings\миша\Local Settings\Temp\jar_cache715438394023554520.tmp', 'MBAM: Spyware.Passwords.XGen');
QuarantineFile('C:\Documents and Settings\миша\Главное меню\Программы\Автозагрузка\igfxtray.exe', 'MBAM: Heuristics.Shuriken');
QuarantineFile('C:\Program Files\Mozilla Firefox\0.13229134792596586.exe', 'MBAM: Spyware.Passwords.XGen');
QuarantineFile('C:\Documents and Settings\дом\Application Data\1A.tmp', 'MBAM: Trojan.Agent');
QuarantineFile('C:\Documents and Settings\дом\Application Data\1B.tmp', 'MBAM: Trojan.Agent');
QuarantineFile('C:\Documents and Settings\дом\Application Data\20.tmp', 'MBAM: Trojan.Agent');
QuarantineFile('C:\Documents and Settings\дом\Application Data\23.tmp', 'MBAM: Trojan.Agent');
QuarantineFile('C:\Documents and Settings\дом\Application Data\24.tmp', 'MBAM: Trojan.Agent');
QuarantineFile('C:\Documents and Settings\дом\Application Data\25.tmp', 'MBAM: Trojan.Agent');
QuarantineFile('C:\Documents and Settings\дом\Application Data\27.tmp', 'MBAM: Trojan.Agent');
QuarantineFile('C:\Documents and Settings\дом\Application Data\28.tmp', 'MBAM: Trojan.Agent');
QuarantineFile('C:\Documents and Settings\миша\Application Data\igxpgd32.dat', 'MBAM: Malware.Trace');
QuarantineFile('C:\Documents and Settings\миша\Application Data\avdrn.dat', 'MBAM: Malware.Trace');
QuarantineFile('C:\Documents and Settings\миша\Application Data\chkntfs.dat', 'MBAM: Malware.Trace');
QuarantineFile('C:\Documents and Settings\дом\Application Data\1.tmp', 'MBAM: Trojan.Generic');
QuarantineFile('C:\Documents and Settings\дом\Application Data\2.tmp', 'MBAM: Trojan.Generic');
QuarantineFile('C:\Documents and Settings\дом\Application Data\3.tmp', 'MBAM: Trojan.Generic');
QuarantineFile('C:\Documents and Settings\дом\Application Data\4.tmp', 'MBAM: Trojan.Generic');
QuarantineFile('C:\Documents and Settings\дом\Application Data\5.tmp', 'MBAM: Trojan.Generic');
QuarantineFile('C:\Documents and Settings\дом\Application Data\6.tmp', 'MBAM: Trojan.Generic');
QuarantineFile('C:\Documents and Settings\дом\Application Data\7.tmp', 'MBAM: Trojan.Generic');
QuarantineFile('C:\Documents and Settings\дом\Application Data\8.tmp', 'MBAM: Trojan.Generic');
QuarantineFile('C:\Documents and Settings\дом\Application Data\9.tmp', 'MBAM: Trojan.Generic');
DeleteFile('C:\Documents and Settings\NetworkService.NT AUTHORITY.007\Local Settings\Temporary Internet Files\Content.IE5\X3VDY46E\zsdzwqt[1].gif');
DeleteFile('C:\Documents and Settings\миша\Application Data\netprotocol.exe');
DeleteFile('C:\Documents and Settings\миша\DoctorWeb\Quarantine\9D.tmp');
DeleteFile('C:\Documents and Settings\миша\DoctorWeb\Quarantine\aorgj[1].jpg');
DeleteFile('C:\Documents and Settings\миша\Local Settings\Temp\jar_cache4600260919044698628.tmp');
DeleteFile('C:\Documents and Settings\миша\Local Settings\Temp\jar_cache715438394023554520.tmp');
DeleteFile('C:\Documents and Settings\миша\Главное меню\Программы\Автозагрузка\igfxtray.exe');
DeleteFile('C:\avz4\Infected\2012-03-12\avz00001.dta');
DeleteFile('C:\Program Files\Mozilla Firefox\0.13229134792596586.exe');
DeleteFile('C:\System Volume Information\_restore{418575C3-0E2B-4DF7-AE47-F426E7E7742B}\RP36\A0006756.exe');
DeleteFile('C:\System Volume Information\_restore{418575C3-0E2B-4DF7-AE47-F426E7E7742B}\RP36\A0006757.exe');
DeleteFile('C:\System Volume Information\_restore{418575C3-0E2B-4DF7-AE47-F426E7E7742B}\RP36\A0006758.exe');
DeleteFile('C:\System Volume Information\_restore{4C838781-99A6-43B3-B89C-54410AD2A7FD}\RP6\A0000374.exe');
DeleteFile('C:\System Volume Information\_restore{B898938F-501D-4D0C-A1D4-16281D6B40B0}\RP10\A0002503.exe');
DeleteFile('C:\System Volume Information\_restore{B898938F-501D-4D0C-A1D4-16281D6B40B0}\RP15\A0005362.exe');
DeleteFile('C:\System Volume Information\_restore{B898938F-501D-4D0C-A1D4-16281D6B40B0}\RP15\A0005363.exe');
DeleteFile('C:\System Volume Information\_restore{B898938F-501D-4D0C-A1D4-16281D6B40B0}\RP15\A0005364.exe');
DeleteFile('C:\System Volume Information\_restore{BDD57FE8-5068-44D0-8E99-A2D1A88FA461}\RP756\A0429215.exe');
DeleteFile('C:\System Volume Information\_restore{D5A48DB9-60A0-436E-9646-3B636678EC3D}\RP304\A0269708.exe');
DeleteFile('C:\System Volume Information\_restore{D5A48DB9-60A0-436E-9646-3B636678EC3D}\RP315\A0286982.exe');
DeleteFile('C:\System Volume Information\_restore{D5A48DB9-60A0-436E-9646-3B636678EC3D}\RP319\A0291018.exe');
DeleteFile('C:\Documents and Settings\дом\Application Data\1A.tmp');
DeleteFile('C:\Documents and Settings\дом\Application Data\1B.tmp');
DeleteFile('C:\Documents and Settings\дом\Application Data\20.tmp');
DeleteFile('C:\Documents and Settings\дом\Application Data\23.tmp');
DeleteFile('C:\Documents and Settings\дом\Application Data\24.tmp');
DeleteFile('C:\Documents and Settings\дом\Application Data\25.tmp');
DeleteFile('C:\Documents and Settings\дом\Application Data\27.tmp');
DeleteFile('C:\Documents and Settings\дом\Application Data\28.tmp');
DeleteFile('C:\Documents and Settings\миша\Application Data\igxpgd32.dat');
DeleteFile('C:\Documents and Settings\миша\Application Data\avdrn.dat');
DeleteFile('C:\Documents and Settings\миша\Application Data\chkntfs.dat');
DeleteFile('C:\Documents and Settings\дом\Application Data\1.tmp');
DeleteFile('C:\Documents and Settings\дом\Application Data\2.tmp');
DeleteFile('C:\Documents and Settings\дом\Application Data\3.tmp');
DeleteFile('C:\Documents and Settings\дом\Application Data\4.tmp');
DeleteFile('C:\Documents and Settings\дом\Application Data\5.tmp');
DeleteFile('C:\Documents and Settings\дом\Application Data\6.tmp');
DeleteFile('C:\Documents and Settings\дом\Application Data\7.tmp');
DeleteFile('C:\Documents and Settings\дом\Application Data\8.tmp');
DeleteFile('C:\Documents and Settings\дом\Application Data\9.tmp');
DeleteFile('C:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\Desktop.ini');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи МВАМ
Попробуйте сделать лог gmer в безопасном режиме
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 90 В ходе лечения обнаружены вредоносные программы:
c:\\documents and settings\\networkservice.nt authority.007\\local settings\\temporary internet files\\content.ie5\\x3vdy46e\\zsdzwqt[1].gif - Net-Worm.Win32.Kido.ih ( DrWEB: Win32.HLLW.Shadow.based, BitDefender: Win32.Worm.Downadup.Gen, NOD32: Win32/Conficker.AA worm, AVAST4: Win32:Confi [Wrm] ) c:\\documents and settings\\дом\\application data\\crhhhj.exe - Trojan.Win32.Yakes.qwq ( DrWEB: Trojan.Packed.22433, BitDefender: Trojan.Generic.7269993, NOD32: Win32/Dorkbot.A worm, AVAST4: Win32:Kryptik-HVO [Trj] ) c:\\documents and settings\\дом\\application data\\1a.tmp - Net-Worm.Win32.Kolab.bexs ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Worm.Generic.369490, NOD32: IRC/SdBot trojan, AVAST4: Win32:IRCBot-ENQ [Trj] ) c:\\documents and settings\\дом\\application data\\1b.tmp - Net-Worm.Win32.Kolab.bewx ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.7439231, NOD32: IRC/SdBot trojan, AVAST4: Win32:IRCBot-ENQ [Trj] ) c:\\documents and settings\\дом\\application data\\1.tmp - Net-Worm.Win32.Kolab.bevj ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Gen:Variant.TDss.17, AVAST4: Win32:IRCBot-ENQ [Trj] ) c:\\documents and settings\\дом\\application data\\2.tmp - Net-Worm.Win32.Kolab.bevj ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Gen:Variant.TDss.17, AVAST4: Win32:IRCBot-ENQ [Trj] ) c:\\documents and settings\\дом\\application data\\20.tmp - Net-Worm.Win32.Kolab.bexr ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Gen:Variant.Barys.522, AVAST4: Win32:IRCBot-ENQ [Trj] ) c:\\documents and settings\\дом\\application data\\23.tmp - Worm.Win32.Ngrbot.kpb ( DrWEB: BackDoor.Siggen.637, BitDefender: Backdoor.Generic.712336, AVAST4: Win32:Crypt-MEQ [Trj] ) c:\\documents and settings\\дом\\application data\\24.tmp - Worm.Win32.Ngrbot.kpb ( DrWEB: BackDoor.Siggen.637, BitDefender: Backdoor.Generic.712336, AVAST4: Win32:Crypt-MEQ [Trj] ) c:\\documents and settings\\дом\\application data\\25.tmp - Net-Worm.Win32.Kolab.beuy ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.7268798, AVAST4: Win32:IRCBot-ENQ [Trj] ) c:\\documents and settings\\дом\\application data\\27.tmp - Net-Worm.Win32.Kolab.bewx ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.7439231, NOD32: IRC/SdBot trojan, AVAST4: Win32:IRCBot-ENQ [Trj] ) c:\\documents and settings\\дом\\application data\\28.tmp - Net-Worm.Win32.Kolab.bexs ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Worm.Generic.369490, NOD32: IRC/SdBot trojan, AVAST4: Win32:IRCBot-ENQ [Trj] ) c:\\documents and settings\\дом\\application data\\3.tmp - Trojan-Spy.Win32.Agent.bzdk ( DrWEB: Trojan.Spambot.11265, BitDefender: Trojan.Generic.7532283, AVAST4: Win32:Kryptik-HXR [Trj] ) c:\\documents and settings\\дом\\application data\\4.tmp - Trojan-Spy.Win32.Agent.bzdk ( DrWEB: Trojan.Spambot.11265, BitDefender: Trojan.Generic.7532283, AVAST4: Win32:Kryptik-HXR [Trj] ) c:\\documents and settings\\дом\\application data\\5.tmp - Trojan.Win32.Yakes.yvk ( DrWEB: BackDoor.Siggen.637, BitDefender: Gen:Variant.Kazy.60791, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Hamweq-M [Wrm] ) c:\\documents and settings\\дом\\application data\\6.tmp - Net-Worm.Win32.Kolab.beyd ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Gen:Variant.Kazy.60694, NOD32: IRC/SdBot trojan, AVAST4: Win32:IRCBot-ENQ [Trj] ) c:\\documents and settings\\дом\\application data\\7.tmp - Trojan-Spy.Win32.Agent.bzbz ( DrWEB: Trojan.Spambot.11265, BitDefender: Trojan.Spy.Zbot.EUZ, NOD32: Win32/SpamTool.Tedroo.AQ trojan, AVAST4: Win32:Atraps-OB [Trj] ) c:\\documents and settings\\дом\\application data\\8.tmp - Trojan.Win32.Yakes.reh ( DrWEB: Trojan.Packed.22433, BitDefender: Gen:Variant.Kazy.60050, AVAST4: Win32:Crypt-LUJ [Trj] ) c:\\documents and settings\\дом\\application data\\9.tmp - Net-Worm.Win32.Kolab.bewb ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Win32.Worm.Agent.QHT, NOD32: IRC/SdBot trojan, AVAST4: Win32:IRCBot-ENQ [Trj] ) c:\\documents and settings\\миша\\application data\\igxpgd32.dat - Trojan.Win32.KillAV.gzf ( DrWEB: Trojan.AVKill.3461 ) c:\\documents and settings\\миша\\application data\\netprotocol.exe - Trojan.Win32.Jorik.Buterat.bt ( DrWEB: Trojan.Winlock.3445, BitDefender: Backdoor.Generic.671774, NOD32: Win32/TrojanClicker.Agent.NII trojan, AVAST4: Win32:Downloader-HXG [Trj] ) c:\\documents and settings\\миша\\doctorweb\\quarantine\\aorgj[1].jpg - Net-Worm.Win32.Kido.dam.y ( DrWEB: Win32.HLLW.Shadow.5, BitDefender: Worm.Generic.372243, NOD32: Win32/Conficker.A worm, AVAST4: Win32:Kido-D [Wrm] ) c:\\documents and settings\\миша\\doctorweb\\quarantine\\9d.tmp - Trojan-Spy.Win32.Wemon.ala ( DrWEB: Trojan.PWS.Webmonier.513, BitDefender: Application.Generic.332528, AVAST4: Win32:MalOb-IJ [Cryp] ) c:\\documents and settings\\миша\\local settings\\temp\\jar_cache4600260919044698628.tmp - Backdoor.Win32.Buterat.bfv ( DrWEB: Trojan.Winlock.3445, BitDefender: Backdoor.Generic.671774, NOD32: Win32/TrojanClicker.Agent.NII trojan, AVAST4: Win32:Downloader-HXG [Trj] ) c:\\documents and settings\\миша\\local settings\\temp\\jar_cache715438394023554520.tmp - Backdoor.Win32.Buterat.bfv ( DrWEB: Trojan.Winlock.3445, BitDefender: Backdoor.Generic.671774, NOD32: Win32/TrojanClicker.Agent.NII trojan, AVAST4: Win32:Downloader-HXG [Trj] ) c:\\documents and settings\\миша\\главное меню\\программы\\автозагрузка\\igfxtray.exe - Trojan.Win32.Pakes.pjy ( DrWEB: Trojan.DownLoader3.13605, BitDefender: Gen:Heur.ManBat.1, NOD32: Win32/TrojanDownloader.Carberp.AA trojan, AVAST4: Win32:Carberp2 [Trj] ) c:\\program files\\mozilla firefox\\0.13229134792596586.exe - Backdoor.Win32.Buterat.bfv ( DrWEB: Trojan.Winlock.3445, BitDefender: Backdoor.Generic.671774, NOD32: Win32/TrojanClicker.Agent.NII trojan, AVAST4: Win32:Downloader-HXG [Trj] ) c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1830\\zaberg.exe - Trojan.Win32.Yakes.yvk ( DrWEB: BackDoor.Siggen.637, BitDefender: Gen:Variant.Kazy.60791, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Hamweq-M [Wrm] )
Рекомендации:
Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !