Проблема с ним началась 6.05.2013г. NOD 32 без остановки его удаляет на данный момент он его удалил 8434 раз.
Проблема с ним началась 6.05.2013г. NOD 32 без остановки его удаляет на данный момент он его удалил 8434 раз.
Уважаемый(ая) Евгений Харитонов, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Уважаемый(ая) Евгений Харитонов, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{D4027C7F-154A-4066-A1AD-4243D8127440}'); DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}'); QuarantineFile('C:\WINDOWS\system32\tqsrjeh.dll',''); QuarantineFile('C:\WINDOWS\apppatch\btcmwrd.exe',''); QuarantineFile('C:\Documents and Settings\Пользователь\Application Data\Microsoft Corporation\paqtcfg.mfi',''); DeleteFile('C:\Documents and Settings\Пользователь\Application Data\Microsoft Corporation\paqtcfg.mfi'); DeleteFile('C:\WINDOWS\apppatch\btcmwrd.exe'); DeleteFile('C:\WINDOWS\system32\tqsrjeh.dll'); BC_ImportAll; ExecuteSysClean; RegKeyStrParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings', 'ProxyServer', ''); RegKeyParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings', 'ProxyEnable', 'REG_DWORD', '0'); RegKeyParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Internet Explorer\Main', 'Default_Page_URL', 'REG_SZ', 'http://go.microsoft.com/fwlink/?LinkId=69157'); RegKeyParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Internet Explorer\Main', 'Default_Search_URL', 'REG_SZ', 'http://go.microsoft.com/fwlink/?LinkId=54896'); ExecuteWizard('TSW',2,2,true); BC_Activate; RebootWindows(true); end.
Выполните в AVZ скрипт:
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Сделайте полный образ автозапуска uVS.
WBR,
Vadim
полный образ автозапуска uVS.
Выполните скрипт в uVSНа вопросы об удалении программ соглашайтесь.Код:;uVS v3.77.13 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 delall %SystemRoot%\APPPATCH\BTCMWRD.EXE delref HTTP://WWW.SMAXXI.BIZ delall %SystemDrive%\DOCUMENTS AND SETTINGS\ПОЛЬЗОВАТЕЛЬ\APPLICATION DATA\MICROSOFT CORPORATION\PAQTCFG.MFI delall %Sys32%\TQSRJEH.DLL regt 12 exec C:\PROGRAM FILES\COMMON FILES\AKAMAI\UNINSTALL.EXE exec "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL exec MSIEXEC.EXE /quiet /X{26A24AE4-039D-4CA4-87B4-2F83217017FF} exec "C:\PROGRAM FILES\PANDORA.TV\PANSERVICE\UNINS000.EXE" deltmp restart
Компьютер перезагрузится.
Уведомление
Данный скрипт удалит Java, т. к. в установленной версии имеются критические ошибки, позволяющие выполнить вредоносный код в целевой системе. Проще говоря - при заходе на сайт с вредоносным кодом внедрить в систему без ведома пользователя трояна.
Если Java нужна, т.е. без неё не работают какие-либо сайты, онлайн-игры и т. п., скачайте и установите Java 7 Update 21. Для большинства сайтов Java не нужна и является потенциальной дырой в безопасности.
Сделайте лог ComboFix.
WBR,
Vadim
Лог ComboFix.
Терминальный доступ к компьютеру (по RDP) нужен?
Удалите ComboFix
Выполните скрипт в AVZ при наличии доступа в интернет:После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Acrobat/Reader и Adobe Flash Player.Код:var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end.
После устранения уязвимостей последите, не вернулась ли проблема.
WBR,
Vadim
Проделал все вышеописанное.
Терминал доступа это самое основное
Прогнал НОДОМ вроде больше нет данного вируса, да и попутно вы вылечили пару других проблем.
огромное спасибо Vadim за помощь!!!
- - - Добавлено - - -
Выполните рекомендации после лечения.
WBR,
Vadim
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) abaddon999, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.