Здравствуйте. Сидит в ОП. NOD32 не берет, CureIt в безопасном не видит. Вирус поражает только съемные. Посмотрите, пожалуйста. Спасибо
Здравствуйте. Сидит в ОП. NOD32 не берет, CureIt в безопасном не видит. Вирус поражает только съемные. Посмотрите, пожалуйста. Спасибо
Последний раз редактировалось LadyM; 19.06.2013 в 15:30.
Уважаемый(ая) LadyM, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте !!!
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:O4 - HKCU\..\Run: [Screen Saver Pro 3.1] D:\Documents and Settings\User\Application Data\ScreenSaverPro.scr O4 - HKCU\..\Run: [Zlvovn] D:\Documents and Settings\User\Application Data\Microsoft\Zlvovn.exe O4 - HKCU\..\Run: [Blvovp] D:\Documents and Settings\User\Application Data\Microsoft\Blvovp.exe O4 - HKCU\..\Run: [Ulvovi] D:\Documents and Settings\User\Application Data\Microsoft\Ulvovi.exe O4 - HKCU\..\Run: [Rkvovf] D:\Documents and Settings\User\Application Data\Microsoft\Rkvovf.exe O4 - HKCU\..\Run: [ca40229dd] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-15555590\cafef9.exe O4 - HKCU\..\Run: [t4q] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-46689\24naq.exe O4 - HKCU\..\Policies\Explorer\Run: [Windows Update] "D:\Documents and Settings\User\Application Data\Microsoft\wkegf\wkegf.exe" -shell
После перезагрузки выполните скрипт:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('D:\Documents and Settings\User\Application Data\B.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-15555590\cafef9.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-46689\24naq.exe',''); QuarantineFile('D:\WINDOWS\Temp\wipmania.com',''); QuarantineFile('d:\documents and settings\user\application data\9.exe',''); QuarantineFile('D:\DOCUME~1\User\APPLIC~1\DSite\UPDATE~1\UPDATE~1.EXE',''); QuarantineFile('D:\Documents and Settings\User\Application Data\ScreenSaverPro.scr',''); QuarantineFile('D:\Documents and Settings\User\Application Data\Microsoft\wkegf\wkegf.exe',''); QuarantineFile('D:\Documents and Settings\User\Application Data\Microsoft\Zlvovn.exe',''); QuarantineFile('D:\Documents and Settings\User\Application Data\Microsoft\Ulvovi.exe',''); QuarantineFile('D:\Documents and Settings\User\Application Data\Microsoft\Rkvovf.exe',''); QuarantineFile('D:\Documents and Settings\User\Application Data\Microsoft\Blvovp.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-46689\24naq.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-15555590\cafef9.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-15555590\cafef9.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-46689\24naq.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-15555590\cafef9.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-46689\24naq.exe'); DeleteFile('D:\Documents and Settings\User\Application Data\Microsoft\Blvovp.exe'); DeleteFile('D:\Documents and Settings\User\Application Data\Microsoft\Rkvovf.exe'); DeleteFile('D:\Documents and Settings\User\Application Data\Microsoft\Ulvovi.exe'); DeleteFile('D:\Documents and Settings\User\Application Data\Microsoft\Zlvovn.exe'); DeleteFile('D:\Documents and Settings\User\Application Data\Microsoft\wkegf\wkegf.exe'); DeleteFile('D:\Documents and Settings\User\Application Data\ScreenSaverPro.scr'); DeleteFile('D:\WINDOWS\Tasks\At1.job'); DeleteFile('d:\documents and settings\user\application data\9.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ca40229dd'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','t4q'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Blvovp'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Rkvovf'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Ulvovi'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Zlvovn'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Update'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Screen Saver Pro 3.1'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(16); RebootWindows(true); end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантинКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
Повторный скан
Извините за задержку, прога подвисает, сканирую
- - - Добавлено - - -
Лог
Выполните скрипт в AVZ:
После перезагрузки выполните скрипт:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('D:\Documents and Settings\User\Application Data\B.exe',''); QuarantineFile('D:\Documents and Settings\User\Application Data\1D0.exe.gonewiththewings',''); QuarantineFile('D:\WINDOWS\system32\GreenFields.scr',''); QuarantineFile('D:\System Volume Information\_restore{CA036B37-D9B1-46B6-86FD-B67920E0A745}\RP164\A0089143.exe',''); QuarantineFile('D:\System Volume Information\_restore{CA036B37-D9B1-46B6-86FD-B67920E0A745}\RP164\A0089142.exe',''); QuarantineFile('D:\Documents and Settings\User\Application Data\1CE.exe.gonewiththewings',''); QuarantineFile('C:\System Volume Information\_restore{CA036B37-D9B1-46B6-86FD-B67920E0A745}\RP165\A0092584.exe',''); DeleteFile('D:\Documents and Settings\User\Application Data\B.exe'); DeleteFile('D:\Documents and Settings\User\Application Data\1D0.exe.gonewiththewings'); DeleteFile('D:\WINDOWS\system32\GreenFields.scr'); DeleteFile('D:\System Volume Information\_restore{CA036B37-D9B1-46B6-86FD-B67920E0A745}\RP164\A0089143.exe'); DeleteFile('D:\System Volume Information\_restore{CA036B37-D9B1-46B6-86FD-B67920E0A745}\RP164\A0089142.exe'); DeleteFile('D:\Documents and Settings\User\Application Data\1CE.exe.gonewiththewings'); DeleteFile('C:\System Volume Information\_restore{CA036B37-D9B1-46B6-86FD-B67920E0A745}\RP165\A0092584.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантинКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log ) + Сделайте полный образ автозапуска uVS
Прикрепила
Восстановите файл HOSTS как описано в статье http://support.microsoft.com/kb/972034/ru
Выполните скрипт в AVZ:
Отключает автозапуск со съемных носителей, уменьшая риск заражения с них.Код:begin RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); RebootWindows(true); end.
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
В логах ничего вредоносного не обнаружил.
Выполните скрипт в uVS
сделайте новый образ автозапуска.Код:;uVS v3.80.3 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE ; D:\WINDOWS\TEMP\WIPMANIA.COM addsgn A7679B1991D66747037CEFB145FD7EBC648A75A361D9124CBC81C5BD5D6ECF0D233CCE5F96149D6826803ADE46357C32DE9EE8536092876E2D5CA92B36472252 8 Backdoor.Win32.Androm.xcj [Kaspersky] zoo %SystemRoot%\TEMP\WIPMANIA.COM bl AC6A9A7B27E426DE1579921B47734A7F 137216 ; zoo %SystemRoot%\TEMP\WIPMANIA.COM chklst delvir restart
Спасибо. Все получилось Флешка больше не заражается. Поставила лицензионный NOD32. Сейчас занимаюсь поддержкой проекта.
лог автозапуска
у меня в uVZ троян Generic
1) - Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
2) Выполните скрипт в uVS
3) - Сделайте лог полного сканирования МВАМ.Код:;uVS v3.80.7 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE ; C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-15555590\CAFEF9.EXE zoo C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-15555590\CAFEF9.EXE ; zoo C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-15555590\CAFEF9.EXE bl 9F22D076C25F3C9FFD546131C49EC030 49152 addsgn 9252772A156AC1CC0BB4514E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5FC202ADA4D985CC8F 8 Backdoor.Win32.Azbreg.usf [Kaspersky] ; D:\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\SCREENSAVERPRO.SCR zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\SCREENSAVERPRO.SCR ; zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\SCREENSAVERPRO.SCR bl 66645C322F5DA08190C4ED0AC35270C1 166915 addsgn A7659219B9628B762FD6AEB1643707F585CAFC1E2104E087154E719A50D6714C769CCE539F159DC0CEDD7B7ECB626FFA2854E58EF59AB0A5C82A5BCE5796B2E3 8 Backdoor.Win32.Androm.xew ; D:\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\MICROSOFT\BLVOVP.EXE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\MICROSOFT\BLVOVP.EXE ; zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\MICROSOFT\BLVOVP.EXE ; C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-46689\24NAQ.EXE zoo C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-46689\24NAQ.EXE ; zoo C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-46689\24NAQ.EXE bl 516BB6B2D03724F9C60E1CAC9CC174F1 73728 addsgn 1A0A639A5583C58CF42B254E3143FE84C9A2FFF689592784C5C34CB1642A314CAA02F3AB7E551454077CC49FCF2361063DDF614F7126F02C4BFBB17F3B462215 23 Trojan-Ransom.Win32.Blocker.uxw chklst delvir restart
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 53
- В ходе лечения обнаружены вредоносные программы:
- c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-15555590\\cafef9.exe - Backdoor.Win32.Azbreg.usf ( BitDefender: Trojan.Generic.9157617, AVAST4: Win32:Malware-gen )
- c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-46689\\24naq.exe - Trojan-Ransom.Win32.Blocker.uxw ( DrWEB: Trojan.PWS.Panda.2401, BitDefender: Trojan.Generic.KDZ.837, AVAST4: Win32:Downloader-RQT [Trj] )
- c:\\system volume information\\_restore{ca036b37-d9b1-46b6-86fd-b67920e0a745}\\rp165\\a0092584.exe - Trojan-Ransom.Win32.Blocker.uxw ( DrWEB: Trojan.PWS.Panda.2401, BitDefender: Trojan.Generic.KDZ.837, AVAST4: Win32:Downloader-RQT [Trj] )
- d:\\documents and settings\\user\\application data\\microsoft\\blvovp.exe - Backdoor.Win32.Androm.xew ( BitDefender: Gen:Heur.Zygug.5, AVAST4: Win32:Downloader-TPQ [Trj] )
- d:\\documents and settings\\user\\application data\\microsoft\\rkvovf.exe - Backdoor.Win32.Androm.xcj ( BitDefender: Trojan.GenericKDV.1048018, AVAST4: Win32:Downloader-TPH [Trj] )
- d:\\documents and settings\\user\\application data\\screensaverpro.scr - Backdoor.Win32.Androm.xvg ( BitDefender: Trojan.GenericKDZ.22004 )
- d:\\documents and settings\\user\\application data\\1ce.exe.gonewiththewings - Trojan-Ransom.Win32.Blocker.uxw ( DrWEB: Trojan.PWS.Panda.2401, BitDefender: Trojan.Generic.KDZ.837, AVAST4: Win32:Downloader-RQT [Trj] )
- d:\\documents and settings\\user\\application data\\1d0.exe.gonewiththewings - Backdoor.Win32.Azbreg.usf ( BitDefender: Trojan.Generic.9157617, AVAST4: Win32:Malware-gen )
- d:\\system volume information\\_restore{ca036b37-d9b1-46b6-86fd-b67920e0a745}\\rp164\\a0089142.exe - not-a-virus:PSWTool.Win32.ProductKey.bw ( DrWEB: Tool.PassSteel.591 )
- d:\\system volume information\\_restore{ca036b37-d9b1-46b6-86fd-b67920e0a745}\\rp164\\a0089143.exe - not-a-virus:PSWTool.Win32.NetPass.arh ( DrWEB: Tool.PassView.526 )
- d:\\windows\\temp\\wipmania.com - Backdoor.Win32.Androm.xcj ( BitDefender: Trojan.GenericKDV.1048018, AVAST4: Win32:Downloader-TPH [Trj] )
Уважаемый(ая) LadyM, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.