антивирус (Microsoft Security Essentials) каждый день пытается их удалить, но безуспешно
Логи прикрепляю
Вопрос - данный вирус плодится по локальной сети? Если да, то возможно из-за него падает процесс spoolsv на XP и отваливается система печати.
антивирус (Microsoft Security Essentials) каждый день пытается их удалить, но безуспешно
Логи прикрепляю
Вопрос - данный вирус плодится по локальной сети? Если да, то возможно из-за него падает процесс spoolsv на XP и отваливается система печати.
Уважаемый(ая) Lancaster, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Documents and Settings\Ира\Application Data\3B3FDF.exe',''); DeleteService('oxgwwaup'); DeleteService('cveshcgt'); QuarantineFile('C:\WINDOWS\system32\drivers\ryxpqlgh.sys',''); DeleteService('ryxpqlgh'); QuarantineFile('C:\WINDOWS\system32\drivers\cveshcgt.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\oxgwwaup.sys',''); QuarantineFile('C:\WINDOWS\system32\itqkqbm.dll',''); DeleteFile('C:\WINDOWS\system32\itqkqbm.dll'); DeleteFile('C:\WINDOWS\system32\drivers\ryxpqlgh.sys'); DeleteFile('C:\WINDOWS\system32\drivers\oxgwwaup.sys'); DeleteFile('C:\Documents and Settings\Ира\Application Data\3B3FDF.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Yandex'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Последний раз редактировалось thyrex; 26.11.2012 в 19:20.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
скрипт выполнил, кстати, вы немного ошиблись в синтаксисе в 23 строке
карантин отправил
логи новые сделал, прикрепляю
Да,перенос в Word сработал
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Documents and Settings\Ира\Local Settings\Application Data\Microsoft\Windows\winupdate.exe',''); QuarantineFile('c:\documents and settings\Ира\application data\opeqmc.exe',''); QuarantineFile('c:\documents and settings\Ира\local settings\application data\google\update\gupdate.exe',''); QuarantineFile('c:\documents and settings\Ира\local settings\application data\nvidia corporation\update\daemonupd.exe',''); DeleteFile('C:\Documents and Settings\Ира\Рабочий стол\GreenChristmasTree_01_0.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Green Christmas Tree'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteREpair(13); RebootWindows(true); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
прошу прощения за задержку, не было доступа к компьютеру:
avz скрипт выполнить не может, вываливается с ошибкой в модуле
в окне программы информация об ошибке антируткита в шаге 16
UPD:
скрипт в итоге выполнился, прислал карантин
логи:
не знаю насколько объективны логи, потому что Microsoft Security Essentials каждую перезагрузку кидает их в карантин
скриншот окна карантина антивируса
http://imageshack.us/photo/my-images/189/123ggz.jpg/
Последний раз редактировалось Lancaster; 02.12.2012 в 18:39.
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Сделал
Удалите в МВАМ только указанные ниже записиКод:Объекты реестра обнаружены: 1 HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (Hijack.StartPage) -> Плохо: (http://webwebalta.ru/) Хорошо: (http://www.google.com/) -> Действие не было предпринято. Обнаруженные файлы: 7 C:\Documents and Settings\Ира\Application Data\Basiyf\coeb.exe (Exploit.Dropper) -> Действие не было предпринято. C:\Documents and Settings\Ира\Local Settings\Temp\5u5r26jz.exe (Trojan.Agent) -> Действие не было предпринято. C:\Documents and Settings\Ира\Local Settings\Temp\1t3mfex0.exe (Backdoor.Cidox) -> Действие не было предпринято. C:\Documents and Settings\Ира\Local Settings\Temp\a648avf2.exe (Trojan.Agent) -> Действие не было предпринято. C:\Documents and Settings\Ира\Local Settings\Temporary Internet Files\Content.IE5\6ZX3YOVC\230[1].html (Trojan.Agent) -> Действие не было предпринято. C:\Documents and Settings\All Users\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Вышеописанные действия были сделаны, проблема не появлялась, с вчерашнего дня опять началось - в системе остался
Win32/TrojanDownloader.Carberp - зараза ничем не чистится, почитал про его функционал, понял, что не всё так просто.
Что еще посоветуете сделать
- - - Добавлено - - -
сделал лог combofix
может он даст какие-то данные о зловреде
Вобщем, сейчас на компьютере ситуация такая - не работают изображения вконтакте, открывается самопроизвольно сайт odnopoisk.ru, поверх страниц выскакивает рекламный баннер.
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt в корень диска С
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: Driver:: Folder:: c:\documents and settings\All Users\Application Data\IBank c:\documents and settings\All Users\Application Data\PmqyNow5dZs c:\documents and settings\Ира\Application Data\Basiyf c:\documents and settings\Ира\Application Data\Ewurry Registry:: DDS:: uStart Page = hxxp://mailsearchengine.ru TCP: Interfaces\{8DDC1C28-83A0-4355-8AD7-00144F1B61B1}: NameServer = 5.199.140.180
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
папка с генерируемым именем появляется снова, удалить ее не выходит
лог Combofix
Сделайте лог TDSSkiller
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 19
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\itqkqbm.dll - Trojan.Win32.Cidox.onj ( DrWEB: Trojan.Mayachok.17994, BitDefender: Gen:Variant.Zusy.28247 )
Уважаемый(ая) Lancaster, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.