-
Junior Member
- Вес репутации
- 41
Помогите вылечить компьютер.
Компьютер стал медленнее работать. Сайты антивирусов не открываются. Не отображаются скрытые файлы и папки. При проверке Dr.Web CureIt и Авастом вирусы были обнаружены и "удалены". Сейчас аваст время от времени блокирует руткит. Прикрепляю логи и скрин журнала сканирования. При каждом запуске Др. Веб находит те же самые вирусы.
Заранее спасибо!
скрин.JPG
virusinfo_syscheck.zip
virusinfo_syscure.zip
hijackthis.log
Последний раз редактировалось Дарья_; 10.01.2013 в 16:11.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Дарья_, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
- Выполните в АВЗ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\User\APPLIC~1\Funmoods\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('c:\documents and settings\user\local settings\temp\26EB6812.sys','');
QuarantineFile('C:\Program Files\Funmoods\1.5.23.22\escortEng.dll','');
QuarantineFile('C:\Program Files\Funmoods\1.5.23.22\escortApp.dll','');
DeleteFile('C:\Program Files\Funmoods\1.5.23.22\escortApp.dll');
DeleteFile('C:\Program Files\Funmoods\1.5.23.22\escortEng.dll');
DeleteFile('c:\documents and settings\user\local settings\temp\26EB6812.sys');
DeleteFile('C:\WINDOWS\Tasks\At1.job');
DeleteFile('C:\DOCUME~1\User\APPLIC~1\Funmoods\UPDATE~1\UPDATE~1.EXE');
DeleteFileMask('C:\DOCUME~1\User\APPLIC~1\Funmoods','*',true);
DeleteDirectory('C:\DOCUME~1\User\APPLIC~1\Funmoods');
DeleteFileMask('C:\Program Files\Funmoods','*',true);
DeleteDirectory('C:\Program Files\Funmoods');
DeleteService('26EB6812');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится
После перезагрузки:
- Выполните в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
- Сделайте лог GMER.
-
-
Junior Member
- Вес репутации
- 41
Вечером в компьютере произошли следующие изменения: сначала он перестал запускаться(зависал на окне приветствия), пришлось загрузить в безопасном режиме и лечить Dr.Web CureIt
Прикрепляю скрин. Верхний вирус находит каждый раз. А с названием FUNMOODS на компьютере была найдена установленная программа, которую никто не устанавливал.
Безымянный.jpg
Так же в различных папках на компьютере появляются файлы с расширениями картинок типа .png , на которые ругается антивирус и при удалении которых высвечивается сообщение что он является системным.
После очистки и перезагрузки компьютер загрузился в таком состоянии, как будто систему только установили, рабочий стол опустел, сетевые подключения пропали, пропали настройки в программах и браузерах, но сами программы и данные на локальных дисках остались. Точек восстановления не было. Подключится к интернету сразу не удалось, т.к. были отключены необходимые службы. При сканировании Гмером вместо 2х красных строк, теперь 4.
гмер.log
-
Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится bedr5kb6.exe случайное имя утилиты (gmer)
Код:
bedr5kb6.exe -del service coqgwdx
bedr5kb6.exe -del service dvbali
bedr5kb6.exe -del service woyfrct
bedr5kb6.exe -del service yafzlcyx
bedr5kb6.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\yafzlcyx"
bedr5kb6.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\woyfrct"
bedr5kb6.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\dvbali"
bedr5kb6.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\coqgwdx"
bedr5kb6.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\yafzlcyx"
bedr5kb6.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\woyfrct"
bedr5kb6.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\dvbali"
bedr5kb6.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\coqgwdx"
bedr5kb6.exe -reboot
И запустите сохранённый пакетный файл cleanup.bat.
Внимание: Компьютер перезагрузится!
Сделайте новый лог gmer.
-
-
Junior Member
- Вес репутации
- 41
Не получилось. Скрин обоих файлов(рабочий стол)
скрин.JPG
Так же выяснилось что все личные данные с компьютера к кому то попали кто сидел с моих анкет в соц сетях.
- - - Добавлено - - -
Аваст продолжает ругаться:
скрин1.JPG
скрин2.JPG
Если это как то поможет делу
-
Попробуйте запустить bat файл в безопасном режиме. Скопировали всё правильно ?
-
-
Junior Member
- Вес репутации
- 41
Все перепроверила, скопировано правильно, в безопасном режиме тоже самое
скрин1.JPG
-
-
-
Junior Member
- Вес репутации
- 41
после перезагрузки не включается интернет.при попытке зайти в сетевые подключения компьютер виснет. аваст продолжает блокировать руткит. хелп
вылетела ошибка при работе с файлом панели управления netsetap.cpl
- - - Добавлено - - -
удалось загрузиться в последней рабочей конфигурации. лога от комбофикса на диске С нет.
- - - Добавлено - - -
Стал оочень сильно тормозит интернет
-
Лечимся с LiveCD
Потом
- Установите SP3 (может потребоваться активация), новый Internet Explorer, а также все доступные обновления для Windows
И повторяем логи АВЗ и hijackthis.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 8
- В ходе лечения вредоносные программы в карантинах не обнаружены
-