Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 28.

Помогите избавиться от Spy.Zbot.aap и SpyVoltar.a [Trojan-Ransom.Win32.PornoAsset.arxf, Backdoor.Win32.Buterat.dssn ] (заявка № 126190)

  1. #1
    Junior Member Репутация
    Регистрация
    24.10.2012
    Сообщений
    14
    Вес репутации
    16

    Помогите избавиться от Spy.Zbot.aap и SpyVoltar.a [Trojan-Ransom.Win32.PornoAsset.arxf, Backdoor.Win32.Buterat.dssn ]

    Здравствуйте! Постоянно выскакивают жалобы Nod32 на то, что обнаружены Spy.Zbot.aap и SpyVoltar.a и он их не может удалить. Возможно из за этого тормозит и система.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,267
    Вес репутации
    326
    Уважаемый(ая) Anatoliy_B, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,524
    Вес репутации
    2915
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
     QuarantineFile('C:\Users\User\AppData\Roaming\WinRAR SFX\WinRAR SFX.exe','');
     QuarantineFile('C:\Users\User\AppData\Roaming\Rixler Software\Rixler Software.exe','');
     QuarantineFile('C:\Users\User\AppData\Roaming\Realtek\Realtek.exe','');
     QuarantineFile('C:\Users\User\AppData\Roaming\Policies\Policies.exe','');
     QuarantineFile('C:\Users\User\AppData\Roaming\Nik Software\Nik Software.exe','');
     QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\YFEZWUFhhQk.exe','');
     QuarantineFile('C:\Users\User\AppData\Roaming\MediaInfo\MediaInfo.exe','');
     QuarantineFile('C:\Users\User\AppData\Roaming\Gabest\Gabest.exe','');
     QuarantineFile('C:\Users\User\AppData\Roaming\GNU\GNU.exe','');
     QuarantineFile('C:\Users\User\AppData\Roaming\Digital Film Tools\Digital Film Tools.exe','');
     QuarantineFile('C:\Users\User\AppData\Roaming\DT Soft\DT Soft.exe','');
     QuarantineFile('C:\Users\User\AppData\Roaming\AppDataLow\AppDataLow.exe','');
     QuarantineFile('C:\Users\User\AppData\Roaming\ALICE\ALICE.exe','');
     QuarantineFile('C:\Users\User\0.04909697260503354.exe','');
     SetServiceStart('Windows NAT', 4);
     DeleteService('Windows NAT');
     QuarantineFile('C:\Windows\system32\antivar.exe','');
     DeleteService('Host Generic Process');
     TerminateProcessByName('c:\users\user\appdata\roaming\microsoft\taskhost.exe');
     QuarantineFile('c:\users\user\appdata\roaming\microsoft\taskhost.exe','');
     TerminateProcessByName('c:\windows\system32\com\svchost.exe');
     QuarantineFile('c:\windows\system32\com\svchost.exe','');
     DeleteFile('c:\windows\system32\com\svchost.exe');
     DeleteFile('c:\users\user\appdata\roaming\microsoft\taskhost.exe');
     DeleteFile('C:\Users\User\0.04909697260503354.exe');
     DeleteFile('C:\Users\User\AppData\Roaming\ALICE\ALICE.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ALICE');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','svnhost');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ALICE');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','ALICE');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','ALICE');
     DeleteFile('C:\Users\User\AppData\Roaming\AppDataLow\AppDataLow.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','AppDataLow');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AppDataLow');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','AppDataLow');
     DeleteFile('C:\Users\User\AppData\Roaming\DT Soft\DT Soft.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','DT Soft');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','DT Soft');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','DT Soft');
     DeleteFile('C:\Users\User\AppData\Roaming\Digital Film Tools\Digital Film Tools.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Digital Film Tools');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Digital Film Tools');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Digital Film Tools');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Digital Film Tools');
     DeleteFile('C:\Users\User\AppData\Roaming\GNU\GNU.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','GNU');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','GNU');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','GNU');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','GNU');
     DeleteFile('C:\Users\User\AppData\Roaming\Gabest\Gabest.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Gabest');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Gabest');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Gabest');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Gabest');
     DeleteFile('C:\Users\User\AppData\Roaming\MediaInfo\MediaInfo.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MediaInfo');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MediaInfo');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','MediaInfo');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','MediaInfo');
     DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\YFEZWUFhhQk.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Taskhost');
     DeleteFile('C:\Users\User\AppData\Roaming\Nik Software\Nik Software.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Nik Software');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Nik Software');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Nik Software');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Nik Software');
     DeleteFile('C:\Users\User\AppData\Roaming\Policies\Policies.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Policies');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Policies');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Policies');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Policies');
     DeleteFile('C:\Users\User\AppData\Roaming\Realtek\Realtek.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Realtek');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Realtek');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Realtek');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Realtek');
     DeleteFile('C:\Users\User\AppData\Roaming\Rixler Software\Rixler Software.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Rixler Software');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Rixler Software');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Rixler Software');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Rixler Software');
     DeleteFile('C:\Users\User\AppData\Roaming\WinRAR SFX\WinRAR SFX.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','WinRAR SFX');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','WinRAR SFX');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','WinRAR SFX');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','WinRAR SFX');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(16); 
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи

    Сделайте лог полного сканирования МВАМ
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  5. #4
    Junior Member Репутация
    Регистрация
    24.10.2012
    Сообщений
    14
    Вес репутации
    16
    Выполнил скрипт в AVZ, появился синий экран с различными надписями, компьютер перезагрузился, вылезло сообщения - что система восстановлена после серьезной ошибки. Пытаюсь прислать Вам карантин. Согласно Приложения 2 правил. Файл - Добавление в карантин по списку, но верхнее окно пусто, как понять какие файлы добавлять?

  6. #5
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,524
    Вес репутации
    2915
    Выполняйте все остальное
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  7. #6
    Junior Member Репутация
    Регистрация
    24.10.2012
    Сообщений
    14
    Вес репутации
    16
    Выполнил Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info", перезагрузил компьютер а "Скрипт сбора информации для раздела "Помогите!" virusinfo.info" не получается выполнить, выскакивает ошибка - Access violation at address 75af3096 in module "USER.dll". Read of address 60d190f4. После чего программа не отвечает ни на какие действия.

  8. #7
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,524
    Вес репутации
    2915
    Где новые логи + лог МВАМ???
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  9. #8
    Junior Member Репутация
    Регистрация
    24.10.2012
    Сообщений
    14
    Вес репутации
    16

    Новые логи + Wbam

    После сканирования Wbam, окно с результатами сканирования не закрываю и не предпринимаю ни каких действий, объекты не удаляю. Жду вашей помощи.

    - - - Добавлено - - -

    Все требуемые логи прислал
    Вложения Вложения

  10. #9
    Junior Member Репутация
    Регистрация
    24.10.2012
    Сообщений
    14
    Вес репутации
    16
    Карантин тоже загрузил

  11. #10
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,524
    Вес репутации
    2915
    Удалите в МВАМ только указанные ниже записи
    Код:
    Обнаруженные процессы в памяти:  4
    C:\Windows\System32\com\svchost.exe (Trojan.Agent) -> 2856 -> Действие не было предпринято.
    C:\Users\User\AppData\Roaming\Microsoft\taskhost.exe (Trojan.MSIL) -> 1172 -> Действие не было предпринято.
    C:\Windows\System32\antivar.exe (Trojan.Agent) -> 2348 -> Действие не было предпринято.
    
    Обнаруженные ключи в реестре:  5
    HKCR\CLSID\{BD3C6F7C-6C8D-48F6-AC52-5E4071AEB257} (Trojan.Vundo) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TNod (Trojan.Agent.CK) -> Действие не было предпринято.
    HKLM\SYSTEM\CurrentControlSet\Services\Windows NAT (Trojan.Agent) -> Действие не было предпринято.
    HKLM\SYSTEM\CurrentControlSet\Services\Host Generic Process (Worm.Agent) -> Действие не было предпринято.
    HKLM\SYSTEM\CurrentControlSet\Services\ServerNabs4 (Trojan.Agent) -> Действие не было предпринято.
    
    Обнаруженные параметры в реестре:  15
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|TNOD UP (Trojan.Agent.CK) -> Параметры: "C:\Program Files\TNod User & Password Finder\TNODUP.exe" /i -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Policies (Backdoor.Agent.Gen) -> Параметры: C:\Users\User\AppData\Roaming\Policies\Policies.exe -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|Policies (Backdoor.Agent.Gen) -> Параметры: C:\Users\User\AppData\Roaming\Policies\Policies.exe -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Policies (Backdoor.Agent.Gen) -> Параметры: C:\Users\User\AppData\Roaming\Policies\Policies.exe -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|Policies (Backdoor.Agent.Gen) -> Параметры: C:\Users\User\AppData\Roaming\Policies\Policies.exe -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|WinRAR SFX (Trojan.Agent) -> Параметры: C:\Users\User\AppData\Roaming\WinRAR SFX\WinRAR SFX.exe -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|WinRAR SFX (Trojan.Agent) -> Параметры: C:\Users\User\AppData\Roaming\WinRAR SFX\WinRAR SFX.exe -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|WinRAR SFX (Trojan.Agent) -> Параметры: C:\Users\User\AppData\Roaming\WinRAR SFX\WinRAR SFX.exe -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|WinRAR SFX (Trojan.Agent) -> Параметры: C:\Users\User\AppData\Roaming\WinRAR SFX\WinRAR SFX.exe -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|AppDataLow (Trojan.Inject) -> Параметры: C:\Users\User\AppData\Roaming\AppDataLow\AppDataLow.exe -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|AppDataLow (Trojan.Inject) -> Параметры: C:\Users\User\AppData\Roaming\AppDataLow\AppDataLow.exe -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|AppDataLow (Trojan.Inject) -> Параметры: C:\Users\User\AppData\Roaming\AppDataLow\AppDataLow.exe -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|AppDataLow (Trojan.Inject) -> Параметры: C:\Users\User\AppData\Roaming\AppDataLow\AppDataLow.exe -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Taskhost (Trojan.MSIL) -> Параметры: C:\Users\User\AppData\Roaming\Microsoft\taskhost.exe -> Действие не было предпринято.
    HKLM\SYSTEM\CurrentControlSet\Services\Host Generic Process|ImagePath (Trojan.Agent) -> Параметры: C:\Windows\system32\drivers\svchost.exe -> Действие не было предпринято.
    
    Объекты реестра обнаружены:  1
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Hijack.Shell) -> Плохо: (explorer.exe, svdhalp.exe) Хорошо: (Explorer.exe) -> Действие не было предпринято.
    
    Обнаруженные файлы:  55
    C:\Users\User\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52\145e0c74-6d178df6 (Spyware.Zbot) -> Действие не было предпринято.
    C:\Users\User\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\57\2ccfdc79-6119c897 (Spyware.Zbot) -> Действие не было предпринято.
    C:\Windows\System32\com\svchost.exe (Trojan.Agent) -> Действие не было предпринято.
    C:\Windows\System32\svdhalp.exe.ini (Backdoor.Bot) -> Действие не было предпринято.
    C:\Windows\syskey2i.drv (Trojan.Spybot) -> Действие не было предпринято.
    C:\Windows\System32\svdhalp.exe141 (Backdoor.Bot) -> Действие не было предпринято.
    C:\Windows\System32\svdhalp.exe187 (Backdoor.Bot) -> Действие не было предпринято.
    C:\Windows\System32\svdhalp.exe283 (Backdoor.Bot) -> Действие не было предпринято.
    C:\Windows\System32\svdhalp.exe294 (Backdoor.Bot) -> Действие не было предпринято.
    C:\Windows\System32\svdhalp.exe379 (Backdoor.Bot) -> Действие не было предпринято.
    C:\Windows\System32\svdhalp.exe532 (Backdoor.Bot) -> Действие не было предпринято.
    C:\Windows\System32\svdhalp.exe593 (Backdoor.Bot) -> Действие не было предпринято.
    C:\Windows\System32\svdhalp.exe664 (Backdoor.Bot) -> Действие не было предпринято.
    C:\Windows\System32\svdhalp.exe668 (Backdoor.Bot) -> Действие не было предпринято.
    C:\Windows\System32\svdhalp.exe689 (Backdoor.Bot) -> Действие не было предпринято.
    C:\Windows\System32\svdhalp.exe716 (Backdoor.Bot) -> Действие не было предпринято.
    C:\Windows\System32\svdhalp.exe746 (Backdoor.Bot) -> Действие не было предпринято.
    C:\Windows\System32\svdhalp.exe806 (Backdoor.Bot) -> Действие не было предпринято.
    C:\Windows\System32\svdhalp.exe837 (Backdoor.Bot) -> Действие не было предпринято.
    C:\Windows\System32\svdhalp.exe942 (Backdoor.Bot) -> Действие не было предпринято.
    C:\Windows\System32\svdhalp.exe.ini190 (Backdoor.Bot) -> Действие не было предпринято.
    C:\Windows\System32\svdhalp.exe.ini201 (Backdoor.Bot) -> Действие не было предпринято.
    C:\Windows\System32\svdhalp.exe.ini295 (Backdoor.Bot) -> Действие не было предпринято.
    C:\Windows\System32\svdhalp.exe.ini304 (Backdoor.Bot) -> Действие не было предпринято.
    C:\Windows\System32\svdhalp.exe.ini316 (Backdoor.Bot) -> Действие не было предпринято.
    C:\Windows\System32\svdhalp.exe.ini351 (Backdoor.Bot) -> Действие не было предпринято.
    C:\Windows\System32\svdhalp.exe.ini423 (Backdoor.Bot) -> Действие не было предпринято.
    C:\Windows\System32\svdhalp.exe.ini482 (Backdoor.Bot) -> Действие не было предпринято.
    C:\Windows\System32\svdhalp.exe.ini548 (Backdoor.Bot) -> Действие не было предпринято.
    C:\Windows\System32\svdhalp.exe.ini628 (Backdoor.Bot) -> Действие не было предпринято.
    C:\Windows\System32\svdhalp.exe.ini734 (Backdoor.Bot) -> Действие не было предпринято.
    C:\Windows\System32\svdhalp.exe.ini839 (Backdoor.Bot) -> Действие не было предпринято.
    C:\Windows\System32\svdhalp.exe.ini895 (Backdoor.Bot) -> Действие не было предпринято.
    C:\Windows\System32\svdhalp.exe.ini992 (Backdoor.Bot) -> Действие не было предпринято.
    C:\Windows\System32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.
    C:\Users\User\AppData\Roaming\Policies\Policies.exe (Backdoor.Agent.Gen) -> Действие не было предпринято.
    C:\Users\User\AppData\Roaming\WinRAR SFX\WinRAR SFX.exe (Trojan.Agent) -> Действие не было предпринято.
    C:\Users\User\AppData\Roaming\AppDataLow\AppDataLow.exe (Trojan.Inject) -> Действие не было предпринято.
    C:\Users\User\AppData\Roaming\Microsoft\taskhost.exe (Trojan.MSIL) -> Действие не было предпринято.
    C:\Windows\System32\antivar.exe (Trojan.Agent) -> Действие не было предпринято.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  12. #11
    Junior Member Репутация
    Регистрация
    24.10.2012
    Сообщений
    14
    Вес репутации
    16
    Удалите в МВАМ указанные ниже записи. Программа предложила перезагрузить компьютер, чтобы изменения вступили в силу, согласился, компьютер перезагрузился - после чего сплошной черный экран на котором виден только курсор мыши, курсор можно передвигать, больше нет ничего.

  13. #12
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,524
    Вес репутации
    2915
    В безопасном режиме как?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  14. #13
    Junior Member Репутация
    Регистрация
    24.10.2012
    Сообщений
    14
    Вес репутации
    16
    Перезагрузил еще раз, рабочий стол загрузился, все нормально пока. Стоит сделать еще логи в AVZ? Чтобы убедиться что все наладилось.

  15. #14
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,524
    Вес репутации
    2915
    Обязательно логи AVZ+ HiJack
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  16. #15
    Junior Member Репутация
    Регистрация
    24.10.2012
    Сообщений
    14
    Вес репутации
    16
    А вы не в курсе, почему при запуске AVZ - стандартные скрипты - вылазит ошибка и приложение закрывается?

  17. #16
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,524
    Вес репутации
    2915
    Попробуйте полиморфный AVZ из моей подписи
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  18. #17
    Junior Member Репутация
    Регистрация
    24.10.2012
    Сообщений
    14
    Вес репутации
    16

    Логи

    Сделал после всего логи. Вроде-бы улучшения есть. Единственно что бросается в глаза это ошибка проводника - APPCRASH, Explover.exevirusinfo_syscheck.ziphijackthis.logvirusinfo_syscure.zip

  19. #18
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,524
    Вес репутации
    2915
    Пофиксите в HiJack
    Код:
    F3 - REG:win.ini: load=C:\Users\User\AppData\Roaming\Nik Software\Nik Software.exe
    F3 - REG:win.ini: run=C:\Users\User\AppData\Roaming\Nik Software\Nik Software.exe
    O4 - HKLM\..\Run: [Gabest] C:\Users\User\AppData\Roaming\Gabest\Gabest.exe
    O4 - HKLM\..\Run: [Digital Film Tools] C:\Users\User\AppData\Roaming\Digital Film Tools\Digital Film Tools.exe
    O4 - HKLM\..\Run: [DT Soft] C:\Users\User\AppData\Roaming\DT Soft\DT Soft.exe
    O4 - HKLM\..\Run: [Rixler Software] C:\Users\User\AppData\Roaming\Rixler Software\Rixler Software.exe
    O4 - HKLM\..\Run: [Realtek] C:\Users\User\AppData\Roaming\Realtek\Realtek.exe
    O4 - HKLM\..\Run: [MediaInfo] C:\Users\User\AppData\Roaming\MediaInfo\MediaInfo.exe
    O4 - HKLM\..\Run: [ALICE] C:\Users\User\AppData\Roaming\ALICE\ALICE.exe
    O4 - HKLM\..\Run: [GNU] C:\Users\User\AppData\Roaming\GNU\GNU.exe
    O4 - HKLM\..\Run: [Nik Software] C:\Users\User\AppData\Roaming\Nik Software\Nik Software.exe
    O4 - HKCU\..\Run: [svnhost] C:\Users\User\0.04909697260503354.exe
    O4 - HKCU\..\Run: [Gabest] C:\Users\User\AppData\Roaming\Gabest\Gabest.exe
    O4 - HKCU\..\Run: [Digital Film Tools] C:\Users\User\AppData\Roaming\Digital Film Tools\Digital Film Tools.exe
    O4 - HKCU\..\Run: [DT Soft] C:\Users\User\AppData\Roaming\DT Soft\DT Soft.exe
    O4 - HKCU\..\Run: [Rixler Software] C:\Users\User\AppData\Roaming\Rixler Software\Rixler Software.exe
    O4 - HKCU\..\Run: [Realtek] C:\Users\User\AppData\Roaming\Realtek\Realtek.exe
    O4 - HKCU\..\Run: [MediaInfo] C:\Users\User\AppData\Roaming\MediaInfo\MediaInfo.exe
    O4 - HKCU\..\Run: [ALICE] C:\Users\User\AppData\Roaming\ALICE\ALICE.exe
    O4 - HKCU\..\Run: [GNU] C:\Users\User\AppData\Roaming\GNU\GNU.exe
    O4 - HKCU\..\Run: [Nik Software] C:\Users\User\AppData\Roaming\Nik Software\Nik Software.exe
    O4 - HKLM\..\Policies\Explorer\Run: [Gabest] C:\Users\User\AppData\Roaming\Gabest\Gabest.exe
    O4 - HKLM\..\Policies\Explorer\Run: [Digital Film Tools] C:\Users\User\AppData\Roaming\Digital Film Tools\Digital Film Tools.exe
    O4 - HKLM\..\Policies\Explorer\Run: [DT Soft] C:\Users\User\AppData\Roaming\DT Soft\DT Soft.exe
    O4 - HKLM\..\Policies\Explorer\Run: [Rixler Software] C:\Users\User\AppData\Roaming\Rixler Software\Rixler Software.exe
    O4 - HKLM\..\Policies\Explorer\Run: [Realtek] C:\Users\User\AppData\Roaming\Realtek\Realtek.exe
    O4 - HKLM\..\Policies\Explorer\Run: [MediaInfo] C:\Users\User\AppData\Roaming\MediaInfo\MediaInfo.exe
    O4 - HKLM\..\Policies\Explorer\Run: [ALICE] C:\Users\User\AppData\Roaming\ALICE\ALICE.exe
    O4 - HKLM\..\Policies\Explorer\Run: [GNU] C:\Users\User\AppData\Roaming\GNU\GNU.exe
    O4 - HKLM\..\Policies\Explorer\Run: [Nik Software] C:\Users\User\AppData\Roaming\Nik Software\Nik Software.exe
    O4 - HKCU\..\Policies\Explorer\Run: [Gabest] C:\Users\User\AppData\Roaming\Gabest\Gabest.exe
    O4 - HKCU\..\Policies\Explorer\Run: [Digital Film Tools] C:\Users\User\AppData\Roaming\Digital Film Tools\Digital Film Tools.exe
    O4 - HKCU\..\Policies\Explorer\Run: [DT Soft] C:\Users\User\AppData\Roaming\DT Soft\DT Soft.exe
    O4 - HKCU\..\Policies\Explorer\Run: [Rixler Software] C:\Users\User\AppData\Roaming\Rixler Software\Rixler Software.exe
    O4 - HKCU\..\Policies\Explorer\Run: [Realtek] C:\Users\User\AppData\Roaming\Realtek\Realtek.exe
    O4 - HKCU\..\Policies\Explorer\Run: [MediaInfo] C:\Users\User\AppData\Roaming\MediaInfo\MediaInfo.exe
    O4 - HKCU\..\Policies\Explorer\Run: [ALICE] C:\Users\User\AppData\Roaming\ALICE\ALICE.exe
    O4 - HKCU\..\Policies\Explorer\Run: [GNU] C:\Users\User\AppData\Roaming\GNU\GNU.exe
    O4 - HKCU\..\Policies\Explorer\Run: [Nik Software] C:\Users\User\AppData\Roaming\Nik Software\Nik Software.exe
    O4 - Startup: YFEZWUFhhQk.exe
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    TerminateProcessByName('c:\users\user\appdata\roaming\digital film tools\digital film tools.exe');
    DeleteFile('c:\users\user\appdata\roaming\digital film tools\digital film tools.exe');
     DeleteFile('C:\Users\User\0.04909697260503354.exe');
     DeleteFile('C:\Users\User\AppData\Roaming\ALICE\ALICE.exe');
     DeleteFile('C:\Users\User\AppData\Roaming\DT Soft\DT Soft.exe');
     DeleteFile('C:\Users\User\AppData\Roaming\Digital Film Tools\Digital Film Tools.exe');
     DeleteFile('C:\Users\User\AppData\Roaming\GNU\GNU.exe');
     DeleteFile('C:\Users\User\AppData\Roaming\Gabest\Gabest.exe');
     DeleteFile('C:\Users\User\AppData\Roaming\MediaInfo\MediaInfo.exe');
     DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\YFEZWUFhhQk.exe');
     DeleteFile('C:\Users\User\AppData\Roaming\Nik Software\Nik Software.exe');
     DeleteFile('C:\Users\User\AppData\Roaming\Realtek\Realtek.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Сделайте новые логи

    Сделайте логи RSIT
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  20. #19
    Junior Member Репутация
    Регистрация
    24.10.2012
    Сообщений
    14
    Вес репутации
    16
    И даже с Вашим полиморфным AVZ таже беда что и с обычным...уже четвертый раз вылазит та же ошибка...перезагружаю компьютер но так и не могу выполнить необходимый скрипт.

  21. #20
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,524
    Вес репутации
    2915
    Сделайте лог ComboFix
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  • Уважаемый(ая) Anatoliy_B, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 17
      Последнее сообщение: 01.10.2012, 02:03
    2. Win32/Spy.Zbot.AAN - помогите избавиться!
      От Alyonae в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 05.09.2012, 02:07
    3. Помогите! Обнаружен вирус Spy.Zbot.ZR
      От hemets в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 06.07.2012, 14:19
    4. Помогите Win32/Spy.Zbot.sk
      От Михаил777 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 27.07.2009, 14:34
    5. Помогите избавиться от ...Zbot.mgs
      От Hunta в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 12.02.2009, 18:52

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01353 seconds with 21 queries