-
Junior Member
- Вес репутации
- 41
Есть подозрение в заражение компа
Всем привет! Думаю что хапнул вирус. Сначало в диспетчере задач начали появляться подозрительные процессы. К сожалению не записал их имена,думал справится сам. Там были смесь букв и цифр,ну и точка exe в конце. Скачал ремовал касперского, в безопасном режиме зайти в комп не смог. Запустил лайв сиди,но к сожаление не смог запустить ремовала. Пришлось чистить в обычном режиме. После чистки ничего не изменилось в безопасный режим выхода нет,и исчез диспетчер задач. Систему сносить не охота вот и обратился)). Выполнил Ваши инструкции,один минус AVZ не обновил базы,выдает ошибки.Мое чайниковское спасибо
Вложение 404825Вложение 404824Вложение 404826
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Zhas, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
> Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
if not IsWOW64 then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
QuarantineFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\5vte1sqs.exe','');
DeleteFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\5vte1sqs.exe');
DeleteFile('C:\WINDOWS\Tasks\r1nq6.job');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('SCU',2,2,false);
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер будет перезагружен.
> Используйте ссылку "Прислать запрошенный карантин", которая находится над первым сообщением этой темы, чтобы прислать quarantine.zip.
> Исправьте при помощи hijackthis:
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://dasearch.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.tune-up.com/link/?target=installhelp&errorcode=0&action=1&os_ver=5.1.2600&os_x64=0&os_sp=3.0&os_id=4&os_suite=256&os_syslang=ru-RU&os_ulang=ru-RU&os_userlang=ru-RU&os_ucountry=KZ&os_usercountry=KZ&tu_version=10.0.4100.107&version=10.0.4100.107&tu_lang=en-GB&tu_ighash=hycbGZSxTvqvYJKzzh2rjg~~&tu_product=tuu2011&app=tuu2011&aid=tuu2011aid31751en-GB&tu_sid=tuu2011aid31751en-GB&tu_sids=tuu2011aid31751en-GB&tu_ind=2011-06-19%2006%3a17%3a02&tu_dod=2011-06-01%2017%3a44%3a42
O3 - Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - (no file)
O3 - Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{330E98C3-8AEE-47B9-B927-ED95FCF63AF2}: NameServer = 80.82.209.180
Выполните очистку.
> Повторите действия, указанные в правилах и подготовьте новые отчеты AVZ и hijackthis.
_________________
> как выполнить скрипт в AVZ | > как исправить ("пофиксить") при помощи hijackthis
-
-
Junior Member
- Вес репутации
- 41
Спасибо дружище! Сделал как ты написал,только при загрузке карантина пишет,что он уже загружен.Продолжаю дальше по инструкции
- - - Добавлено - - -
Сделал проверку заново. При обновлении баз АВЗ выходит сообещние :Ошибка в ходе автоматического обновления - Ошибка загрузки файла с описанием обновления avzupd.zip c http://z-oleg.com/secur/avz_up/[21,00002EFD]
-
-
-
Junior Member
- Вес репутации
- 41
Приветствую дружище)) Не помогло. Нет панели управления пишет что операция отменена в следствии действующих ограничений. Не могу проверить реестр. Нет входа в безопасный режим. Через лайвсиди попробовал Dr.Web CureIt не смог запустить проверку. Воошпем комп чужим стал)) Жутко неохота винду переустанавливать.
-
Времени прошло много, делайте отчеты заново.
-
-
Junior Member
- Вес репутации
- 41
Вложение 405709Вложение 405710Вложение 405711
- - - Добавлено - - -
Сделал. Базы не обновил опять, не смог
-
> Выполните скрипт в AVZ:
Код:
begin
ExecuteWizard('TSW',2,2,true);
end.
Сделайте отчет программы МВАМ. http://virusinfo.info/showthread.php?t=53070
-
-
Junior Member
- Вес репутации
- 41
Не получается( Идет ссылка на скачку Download Master 5.14.2.1329. Никаких действий далее не происходит. Есть свой мастер но к нему нет допуска
- - - Добавлено - - -
Все щас сделаю))
- - - Добавлено - - -
Вложение 405743
-
Удалите все, кроме:
Код:
D:\Образы\Advanced SystemCare Pro v3.7.2.733 Final + crack\Advanced SystemCare PRO v3.4.2\crack\Advanced SystemCare Pro Patch^N^Keygen.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
D:\Образы\Advanced SystemCare Pro v3.7.2.733 Final + crack\advanced_system_care_pro_\Iobit Advanced systemcare 3.3.x.keygen + patch.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
D:\Образы\AIDA64.Extreme.Edition.v2.00.1700.keygen-CHiLi\keygen\1\chili-keygen.exe (RiskWare.Tool.HCK) -> Действие не было предпринято.
D:\Образы\Office.2010.Proplus.VL.RU.Upd-01.10.10\Активатор\mini-KMS_Activator_v1.31_Office2010_VL_ENG.exe (Riskware.Tool.CK) -> Действие не было предпринято.
D:\Образы\SPB\SpbMobileDVD\38395_spb1.mobile.dvd.1.0.keygentsrh\spbmobile.dvd.keygen.tsrh.exe (Trojan.Downloader) -> Действие не было предпринято.
D:\Образы\Xilisoft Video Converter Ultimate v7.1.0 build 20120222 Final + Portable ML_RUS [MGT]\medicine\PatCh\all.xilisoft.products.new.generic.patcher-ismail\all.xilisoft.products.new.generic.patcher-ismail.exe (PUP.Hacktool.Patcher) -> Действие не было предпринято.
D:\Образы\Xilisoft Video Converter Ultimate v7.1.0 build 20120222 Final + Portable ML_RUS [MGT]\medicine\PatCh\Xilisoft.Video.Converter.Ultimate.7.xx_PatCh.By.ScoRPioN2\xilisoft.video.converter.ultimate.7.xx.-patch.exe (PUP.Hacktool.Patcher) -> Действие не было предпринято.
E:\Избранное Жаслана\ВСЯКА ПОМОЩЬ\МКВ конвертеры с кряком\AudioConverter.EXE (Backdoor.Agent) -> Действие не было предпринято.
F:\I386\SYSTEM32\abel.exe (HackTool.Cain) -> Действие не было предпринято.
Прикрепите новый отчет МВАМ.
-
-
Junior Member
- Вес репутации
- 41
Вложение 406028 Я так понимаю надо постоянно с диска С удалять?
-
Обнаруженные ключи в реестре: 3
HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext \Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
это забыли удалить.
Что с проблемой?
-
-
Junior Member
- Вес репутации
- 41
Нет Никита я их удалил как ты написал,они опять появились
-
Еще раз сделайте syscheck (2 стандартный скрипт).
-
-
Junior Member
- Вес репутации
- 41
-
Плохого не видно. Что с проблемой?
-
-
Junior Member
- Вес репутации
- 41
Malwarebytes Anti-Malware постоянно ругается предотвращает попытки доступа к каким-то вредоносным сайтам. Вот и думаю болячка оставшаяся не может трафик мой хавать?
-
-
-
Junior Member
- Вес репутации
- 41
Вложение 406232
Сделал. Даже сам почитал и нифига не понял)) Там указано что у меня несколько антивирев,не знаю где он их нашел. У меня сейчас MSE