Здравствуйте! Постоянно выскакивают жалобы Nod32 на то, что обнаружены Spy.Zbot.aap и SpyVoltar.a и он их не может удалить. Возможно из за этого тормозит и система.
Здравствуйте! Постоянно выскакивают жалобы Nod32 на то, что обнаружены Spy.Zbot.aap и SpyVoltar.a и он их не может удалить. Возможно из за этого тормозит и система.
Уважаемый(ая) Anatoliy_B, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\User\AppData\Roaming\WinRAR SFX\WinRAR SFX.exe',''); QuarantineFile('C:\Users\User\AppData\Roaming\Rixler Software\Rixler Software.exe',''); QuarantineFile('C:\Users\User\AppData\Roaming\Realtek\Realtek.exe',''); QuarantineFile('C:\Users\User\AppData\Roaming\Policies\Policies.exe',''); QuarantineFile('C:\Users\User\AppData\Roaming\Nik Software\Nik Software.exe',''); QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\YFEZWUFhhQk.exe',''); QuarantineFile('C:\Users\User\AppData\Roaming\MediaInfo\MediaInfo.exe',''); QuarantineFile('C:\Users\User\AppData\Roaming\Gabest\Gabest.exe',''); QuarantineFile('C:\Users\User\AppData\Roaming\GNU\GNU.exe',''); QuarantineFile('C:\Users\User\AppData\Roaming\Digital Film Tools\Digital Film Tools.exe',''); QuarantineFile('C:\Users\User\AppData\Roaming\DT Soft\DT Soft.exe',''); QuarantineFile('C:\Users\User\AppData\Roaming\AppDataLow\AppDataLow.exe',''); QuarantineFile('C:\Users\User\AppData\Roaming\ALICE\ALICE.exe',''); QuarantineFile('C:\Users\User\0.04909697260503354.exe',''); SetServiceStart('Windows NAT', 4); DeleteService('Windows NAT'); QuarantineFile('C:\Windows\system32\antivar.exe',''); DeleteService('Host Generic Process'); TerminateProcessByName('c:\users\user\appdata\roaming\microsoft\taskhost.exe'); QuarantineFile('c:\users\user\appdata\roaming\microsoft\taskhost.exe',''); TerminateProcessByName('c:\windows\system32\com\svchost.exe'); QuarantineFile('c:\windows\system32\com\svchost.exe',''); DeleteFile('c:\windows\system32\com\svchost.exe'); DeleteFile('c:\users\user\appdata\roaming\microsoft\taskhost.exe'); DeleteFile('C:\Users\User\0.04909697260503354.exe'); DeleteFile('C:\Users\User\AppData\Roaming\ALICE\ALICE.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ALICE'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','svnhost'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ALICE'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','ALICE'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','ALICE'); DeleteFile('C:\Users\User\AppData\Roaming\AppDataLow\AppDataLow.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','AppDataLow'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AppDataLow'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','AppDataLow'); DeleteFile('C:\Users\User\AppData\Roaming\DT Soft\DT Soft.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','DT Soft'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','DT Soft'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','DT Soft'); DeleteFile('C:\Users\User\AppData\Roaming\Digital Film Tools\Digital Film Tools.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Digital Film Tools'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Digital Film Tools'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Digital Film Tools'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Digital Film Tools'); DeleteFile('C:\Users\User\AppData\Roaming\GNU\GNU.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','GNU'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','GNU'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','GNU'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','GNU'); DeleteFile('C:\Users\User\AppData\Roaming\Gabest\Gabest.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Gabest'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Gabest'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Gabest'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Gabest'); DeleteFile('C:\Users\User\AppData\Roaming\MediaInfo\MediaInfo.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MediaInfo'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MediaInfo'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','MediaInfo'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','MediaInfo'); DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\YFEZWUFhhQk.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Taskhost'); DeleteFile('C:\Users\User\AppData\Roaming\Nik Software\Nik Software.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Nik Software'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Nik Software'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Nik Software'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Nik Software'); DeleteFile('C:\Users\User\AppData\Roaming\Policies\Policies.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Policies'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Policies'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Policies'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Policies'); DeleteFile('C:\Users\User\AppData\Roaming\Realtek\Realtek.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Realtek'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Realtek'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Realtek'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Realtek'); DeleteFile('C:\Users\User\AppData\Roaming\Rixler Software\Rixler Software.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Rixler Software'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Rixler Software'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Rixler Software'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Rixler Software'); DeleteFile('C:\Users\User\AppData\Roaming\WinRAR SFX\WinRAR SFX.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','WinRAR SFX'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','WinRAR SFX'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','WinRAR SFX'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','WinRAR SFX'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(16); RebootWindows(true); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Выполнил скрипт в AVZ, появился синий экран с различными надписями, компьютер перезагрузился, вылезло сообщения - что система восстановлена после серьезной ошибки. Пытаюсь прислать Вам карантин. Согласно Приложения 2 правил. Файл - Добавление в карантин по списку, но верхнее окно пусто, как понять какие файлы добавлять?
Выполняйте все остальное
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Выполнил Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info", перезагрузил компьютер а "Скрипт сбора информации для раздела "Помогите!" virusinfo.info" не получается выполнить, выскакивает ошибка - Access violation at address 75af3096 in module "USER.dll". Read of address 60d190f4. После чего программа не отвечает ни на какие действия.
Где новые логи + лог МВАМ???
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
После сканирования Wbam, окно с результатами сканирования не закрываю и не предпринимаю ни каких действий, объекты не удаляю. Жду вашей помощи.
- - - Добавлено - - -
Все требуемые логи прислал
Карантин тоже загрузил
Удалите в МВАМ только указанные ниже записиКод:Обнаруженные процессы в памяти: 4 C:\Windows\System32\com\svchost.exe (Trojan.Agent) -> 2856 -> Действие не было предпринято. C:\Users\User\AppData\Roaming\Microsoft\taskhost.exe (Trojan.MSIL) -> 1172 -> Действие не было предпринято. C:\Windows\System32\antivar.exe (Trojan.Agent) -> 2348 -> Действие не было предпринято. Обнаруженные ключи в реестре: 5 HKCR\CLSID\{BD3C6F7C-6C8D-48F6-AC52-5E4071AEB257} (Trojan.Vundo) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TNod (Trojan.Agent.CK) -> Действие не было предпринято. HKLM\SYSTEM\CurrentControlSet\Services\Windows NAT (Trojan.Agent) -> Действие не было предпринято. HKLM\SYSTEM\CurrentControlSet\Services\Host Generic Process (Worm.Agent) -> Действие не было предпринято. HKLM\SYSTEM\CurrentControlSet\Services\ServerNabs4 (Trojan.Agent) -> Действие не было предпринято. Обнаруженные параметры в реестре: 15 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|TNOD UP (Trojan.Agent.CK) -> Параметры: "C:\Program Files\TNod User & Password Finder\TNODUP.exe" /i -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Policies (Backdoor.Agent.Gen) -> Параметры: C:\Users\User\AppData\Roaming\Policies\Policies.exe -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|Policies (Backdoor.Agent.Gen) -> Параметры: C:\Users\User\AppData\Roaming\Policies\Policies.exe -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Policies (Backdoor.Agent.Gen) -> Параметры: C:\Users\User\AppData\Roaming\Policies\Policies.exe -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|Policies (Backdoor.Agent.Gen) -> Параметры: C:\Users\User\AppData\Roaming\Policies\Policies.exe -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|WinRAR SFX (Trojan.Agent) -> Параметры: C:\Users\User\AppData\Roaming\WinRAR SFX\WinRAR SFX.exe -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|WinRAR SFX (Trojan.Agent) -> Параметры: C:\Users\User\AppData\Roaming\WinRAR SFX\WinRAR SFX.exe -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|WinRAR SFX (Trojan.Agent) -> Параметры: C:\Users\User\AppData\Roaming\WinRAR SFX\WinRAR SFX.exe -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|WinRAR SFX (Trojan.Agent) -> Параметры: C:\Users\User\AppData\Roaming\WinRAR SFX\WinRAR SFX.exe -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|AppDataLow (Trojan.Inject) -> Параметры: C:\Users\User\AppData\Roaming\AppDataLow\AppDataLow.exe -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|AppDataLow (Trojan.Inject) -> Параметры: C:\Users\User\AppData\Roaming\AppDataLow\AppDataLow.exe -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|AppDataLow (Trojan.Inject) -> Параметры: C:\Users\User\AppData\Roaming\AppDataLow\AppDataLow.exe -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|AppDataLow (Trojan.Inject) -> Параметры: C:\Users\User\AppData\Roaming\AppDataLow\AppDataLow.exe -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Taskhost (Trojan.MSIL) -> Параметры: C:\Users\User\AppData\Roaming\Microsoft\taskhost.exe -> Действие не было предпринято. HKLM\SYSTEM\CurrentControlSet\Services\Host Generic Process|ImagePath (Trojan.Agent) -> Параметры: C:\Windows\system32\drivers\svchost.exe -> Действие не было предпринято. Объекты реестра обнаружены: 1 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Hijack.Shell) -> Плохо: (explorer.exe, svdhalp.exe) Хорошо: (Explorer.exe) -> Действие не было предпринято. Обнаруженные файлы: 55 C:\Users\User\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52\145e0c74-6d178df6 (Spyware.Zbot) -> Действие не было предпринято. C:\Users\User\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\57\2ccfdc79-6119c897 (Spyware.Zbot) -> Действие не было предпринято. C:\Windows\System32\com\svchost.exe (Trojan.Agent) -> Действие не было предпринято. C:\Windows\System32\svdhalp.exe.ini (Backdoor.Bot) -> Действие не было предпринято. C:\Windows\syskey2i.drv (Trojan.Spybot) -> Действие не было предпринято. C:\Windows\System32\svdhalp.exe141 (Backdoor.Bot) -> Действие не было предпринято. C:\Windows\System32\svdhalp.exe187 (Backdoor.Bot) -> Действие не было предпринято. C:\Windows\System32\svdhalp.exe283 (Backdoor.Bot) -> Действие не было предпринято. C:\Windows\System32\svdhalp.exe294 (Backdoor.Bot) -> Действие не было предпринято. C:\Windows\System32\svdhalp.exe379 (Backdoor.Bot) -> Действие не было предпринято. C:\Windows\System32\svdhalp.exe532 (Backdoor.Bot) -> Действие не было предпринято. C:\Windows\System32\svdhalp.exe593 (Backdoor.Bot) -> Действие не было предпринято. C:\Windows\System32\svdhalp.exe664 (Backdoor.Bot) -> Действие не было предпринято. C:\Windows\System32\svdhalp.exe668 (Backdoor.Bot) -> Действие не было предпринято. C:\Windows\System32\svdhalp.exe689 (Backdoor.Bot) -> Действие не было предпринято. C:\Windows\System32\svdhalp.exe716 (Backdoor.Bot) -> Действие не было предпринято. C:\Windows\System32\svdhalp.exe746 (Backdoor.Bot) -> Действие не было предпринято. C:\Windows\System32\svdhalp.exe806 (Backdoor.Bot) -> Действие не было предпринято. C:\Windows\System32\svdhalp.exe837 (Backdoor.Bot) -> Действие не было предпринято. C:\Windows\System32\svdhalp.exe942 (Backdoor.Bot) -> Действие не было предпринято. C:\Windows\System32\svdhalp.exe.ini190 (Backdoor.Bot) -> Действие не было предпринято. C:\Windows\System32\svdhalp.exe.ini201 (Backdoor.Bot) -> Действие не было предпринято. C:\Windows\System32\svdhalp.exe.ini295 (Backdoor.Bot) -> Действие не было предпринято. C:\Windows\System32\svdhalp.exe.ini304 (Backdoor.Bot) -> Действие не было предпринято. C:\Windows\System32\svdhalp.exe.ini316 (Backdoor.Bot) -> Действие не было предпринято. C:\Windows\System32\svdhalp.exe.ini351 (Backdoor.Bot) -> Действие не было предпринято. C:\Windows\System32\svdhalp.exe.ini423 (Backdoor.Bot) -> Действие не было предпринято. C:\Windows\System32\svdhalp.exe.ini482 (Backdoor.Bot) -> Действие не было предпринято. C:\Windows\System32\svdhalp.exe.ini548 (Backdoor.Bot) -> Действие не было предпринято. C:\Windows\System32\svdhalp.exe.ini628 (Backdoor.Bot) -> Действие не было предпринято. C:\Windows\System32\svdhalp.exe.ini734 (Backdoor.Bot) -> Действие не было предпринято. C:\Windows\System32\svdhalp.exe.ini839 (Backdoor.Bot) -> Действие не было предпринято. C:\Windows\System32\svdhalp.exe.ini895 (Backdoor.Bot) -> Действие не было предпринято. C:\Windows\System32\svdhalp.exe.ini992 (Backdoor.Bot) -> Действие не было предпринято. C:\Windows\System32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято. C:\Users\User\AppData\Roaming\Policies\Policies.exe (Backdoor.Agent.Gen) -> Действие не было предпринято. C:\Users\User\AppData\Roaming\WinRAR SFX\WinRAR SFX.exe (Trojan.Agent) -> Действие не было предпринято. C:\Users\User\AppData\Roaming\AppDataLow\AppDataLow.exe (Trojan.Inject) -> Действие не было предпринято. C:\Users\User\AppData\Roaming\Microsoft\taskhost.exe (Trojan.MSIL) -> Действие не было предпринято. C:\Windows\System32\antivar.exe (Trojan.Agent) -> Действие не было предпринято.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Удалите в МВАМ указанные ниже записи. Программа предложила перезагрузить компьютер, чтобы изменения вступили в силу, согласился, компьютер перезагрузился - после чего сплошной черный экран на котором виден только курсор мыши, курсор можно передвигать, больше нет ничего.
В безопасном режиме как?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Перезагрузил еще раз, рабочий стол загрузился, все нормально пока. Стоит сделать еще логи в AVZ? Чтобы убедиться что все наладилось.
Обязательно логи AVZ+ HiJack
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
А вы не в курсе, почему при запуске AVZ - стандартные скрипты - вылазит ошибка и приложение закрывается?
Попробуйте полиморфный AVZ из моей подписи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Сделал после всего логи. Вроде-бы улучшения есть. Единственно что бросается в глаза это ошибка проводника - APPCRASH, Explover.exevirusinfo_syscheck.ziphijackthis.logvirusinfo_syscure.zip
Пофиксите в HiJack
Выполните скрипт в AVZКод:F3 - REG:win.ini: load=C:\Users\User\AppData\Roaming\Nik Software\Nik Software.exe F3 - REG:win.ini: run=C:\Users\User\AppData\Roaming\Nik Software\Nik Software.exe O4 - HKLM\..\Run: [Gabest] C:\Users\User\AppData\Roaming\Gabest\Gabest.exe O4 - HKLM\..\Run: [Digital Film Tools] C:\Users\User\AppData\Roaming\Digital Film Tools\Digital Film Tools.exe O4 - HKLM\..\Run: [DT Soft] C:\Users\User\AppData\Roaming\DT Soft\DT Soft.exe O4 - HKLM\..\Run: [Rixler Software] C:\Users\User\AppData\Roaming\Rixler Software\Rixler Software.exe O4 - HKLM\..\Run: [Realtek] C:\Users\User\AppData\Roaming\Realtek\Realtek.exe O4 - HKLM\..\Run: [MediaInfo] C:\Users\User\AppData\Roaming\MediaInfo\MediaInfo.exe O4 - HKLM\..\Run: [ALICE] C:\Users\User\AppData\Roaming\ALICE\ALICE.exe O4 - HKLM\..\Run: [GNU] C:\Users\User\AppData\Roaming\GNU\GNU.exe O4 - HKLM\..\Run: [Nik Software] C:\Users\User\AppData\Roaming\Nik Software\Nik Software.exe O4 - HKCU\..\Run: [svnhost] C:\Users\User\0.04909697260503354.exe O4 - HKCU\..\Run: [Gabest] C:\Users\User\AppData\Roaming\Gabest\Gabest.exe O4 - HKCU\..\Run: [Digital Film Tools] C:\Users\User\AppData\Roaming\Digital Film Tools\Digital Film Tools.exe O4 - HKCU\..\Run: [DT Soft] C:\Users\User\AppData\Roaming\DT Soft\DT Soft.exe O4 - HKCU\..\Run: [Rixler Software] C:\Users\User\AppData\Roaming\Rixler Software\Rixler Software.exe O4 - HKCU\..\Run: [Realtek] C:\Users\User\AppData\Roaming\Realtek\Realtek.exe O4 - HKCU\..\Run: [MediaInfo] C:\Users\User\AppData\Roaming\MediaInfo\MediaInfo.exe O4 - HKCU\..\Run: [ALICE] C:\Users\User\AppData\Roaming\ALICE\ALICE.exe O4 - HKCU\..\Run: [GNU] C:\Users\User\AppData\Roaming\GNU\GNU.exe O4 - HKCU\..\Run: [Nik Software] C:\Users\User\AppData\Roaming\Nik Software\Nik Software.exe O4 - HKLM\..\Policies\Explorer\Run: [Gabest] C:\Users\User\AppData\Roaming\Gabest\Gabest.exe O4 - HKLM\..\Policies\Explorer\Run: [Digital Film Tools] C:\Users\User\AppData\Roaming\Digital Film Tools\Digital Film Tools.exe O4 - HKLM\..\Policies\Explorer\Run: [DT Soft] C:\Users\User\AppData\Roaming\DT Soft\DT Soft.exe O4 - HKLM\..\Policies\Explorer\Run: [Rixler Software] C:\Users\User\AppData\Roaming\Rixler Software\Rixler Software.exe O4 - HKLM\..\Policies\Explorer\Run: [Realtek] C:\Users\User\AppData\Roaming\Realtek\Realtek.exe O4 - HKLM\..\Policies\Explorer\Run: [MediaInfo] C:\Users\User\AppData\Roaming\MediaInfo\MediaInfo.exe O4 - HKLM\..\Policies\Explorer\Run: [ALICE] C:\Users\User\AppData\Roaming\ALICE\ALICE.exe O4 - HKLM\..\Policies\Explorer\Run: [GNU] C:\Users\User\AppData\Roaming\GNU\GNU.exe O4 - HKLM\..\Policies\Explorer\Run: [Nik Software] C:\Users\User\AppData\Roaming\Nik Software\Nik Software.exe O4 - HKCU\..\Policies\Explorer\Run: [Gabest] C:\Users\User\AppData\Roaming\Gabest\Gabest.exe O4 - HKCU\..\Policies\Explorer\Run: [Digital Film Tools] C:\Users\User\AppData\Roaming\Digital Film Tools\Digital Film Tools.exe O4 - HKCU\..\Policies\Explorer\Run: [DT Soft] C:\Users\User\AppData\Roaming\DT Soft\DT Soft.exe O4 - HKCU\..\Policies\Explorer\Run: [Rixler Software] C:\Users\User\AppData\Roaming\Rixler Software\Rixler Software.exe O4 - HKCU\..\Policies\Explorer\Run: [Realtek] C:\Users\User\AppData\Roaming\Realtek\Realtek.exe O4 - HKCU\..\Policies\Explorer\Run: [MediaInfo] C:\Users\User\AppData\Roaming\MediaInfo\MediaInfo.exe O4 - HKCU\..\Policies\Explorer\Run: [ALICE] C:\Users\User\AppData\Roaming\ALICE\ALICE.exe O4 - HKCU\..\Policies\Explorer\Run: [GNU] C:\Users\User\AppData\Roaming\GNU\GNU.exe O4 - HKCU\..\Policies\Explorer\Run: [Nik Software] C:\Users\User\AppData\Roaming\Nik Software\Nik Software.exe O4 - Startup: YFEZWUFhhQk.exe
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; TerminateProcessByName('c:\users\user\appdata\roaming\digital film tools\digital film tools.exe'); DeleteFile('c:\users\user\appdata\roaming\digital film tools\digital film tools.exe'); DeleteFile('C:\Users\User\0.04909697260503354.exe'); DeleteFile('C:\Users\User\AppData\Roaming\ALICE\ALICE.exe'); DeleteFile('C:\Users\User\AppData\Roaming\DT Soft\DT Soft.exe'); DeleteFile('C:\Users\User\AppData\Roaming\Digital Film Tools\Digital Film Tools.exe'); DeleteFile('C:\Users\User\AppData\Roaming\GNU\GNU.exe'); DeleteFile('C:\Users\User\AppData\Roaming\Gabest\Gabest.exe'); DeleteFile('C:\Users\User\AppData\Roaming\MediaInfo\MediaInfo.exe'); DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\YFEZWUFhhQk.exe'); DeleteFile('C:\Users\User\AppData\Roaming\Nik Software\Nik Software.exe'); DeleteFile('C:\Users\User\AppData\Roaming\Realtek\Realtek.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделайте новые логи
Сделайте логи RSIT
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
И даже с Вашим полиморфным AVZ таже беда что и с обычным...уже четвертый раз вылазит та же ошибка...перезагружаю компьютер но так и не могу выполнить необходимый скрипт.
Сделайте лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Уважаемый(ая) Anatoliy_B, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.