Уважаемый(ая) emph, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\sys.exe',''); QuarantineFile('C:\WINDOWS\system32\update.exe',''); QuarantineFile('C:\WINDOWS\csrss.exe',''); QuarantineFile('C:\Documents and Settings\123.123-5B9AC63E097\Application Data\Kjvsvc.exe',''); QuarantineFile('c:\windows\syso\critical\system.exe',''); QuarantineFile('c:\windows\system32\rundat.exe',''); QuarantineFile('c:\windows\system32\safari.exe',''); DeleteFile('C:\Documents and Settings\123.123-5B9AC63E097\Application Data\Kjvsvc.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Kjvsvc'); DeleteFile('C:\WINDOWS\system32\rundat.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Supports RAS Connections'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','Supports RAS Connections'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunServices','Supports RAS Connections'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Supports RAS Connections'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunServices','Supports RAS Connections'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Supports RAS Connections'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunServices','Supports RAS Connections'); DeleteFile('C:\WINDOWS\system32\safari.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windows Service Agent'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','Windows Service Agent'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Service Agent'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Windows Service Agent'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Windows Service Agent'); DeleteFile('C:\Windows\syso\critical\antivirus.bat','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update'); DeleteFile('C:\WINDOWS\csrss.exe','32'); DeleteFile('C:\WINDOWS\system32\update.exe','32'); DeleteFile('C:\sys.exe','32'); DeleteFileMask('C:\Windows\syso', '*', true); DeleteDirectory('C:\Windows\syso'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
логи
hijackthis.log
virusinfo_syscure.zip
virusinfo_syscheck.zip
- - - Добавлено - - -
по поводу загрузки карантина пишет подобное:
VirusInfo
Результат загрузки
Ошибка загрузки. Данный файл уже был загружен
Чисто.
Установите Internet Explorer 8 - даже если им не пользуетесь, это критически важный для безопасности компонент Windows.
Выполните рекомендации после лечения.
WBR,
Vadim
вообщем проблема в неком роде повторилась , при загрузке компа появляются файлы win.rar , sys.exe
Сделайте лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
ComboFix.rar
но команда ComboFix /Unistall в командной строке не дает никаких результатов
А Вас разве просили удалять ComboFix
Заразы еще полно
Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: C:\win.exe c:\windows\hfrssss.exe c:\windows\system32\safari.exe c:\windows\system32.exe c:\windows\system32\nircmd.exe c:\windows\system32\rundat.exe c:\windows\bhrfr.exe c:\windows\saageg.exe c:\windows\dgweg.exe c:\windows\dgeg.exe c:\windows\iihrn.exe c:\windows\vghrn.exe c:\windows\hrveki.exe Driver:: Folder:: c:\windows\syso Registry:: [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Supports RAS Connections"=- [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] "Supports RAS Connections"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Supports RAS Connections"=- [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "Supports RAS Connections"=- "Windows Service Agent"=- [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunServices] "Supports RAS Connections"=- FileLook:: DirLook::
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Обновления для системы все установлены?
Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: c:\windows\exvss.exe c:\windows\hfrssss.exe c:\windows\system32\safari.exe c:\windows\system32.exe c:\windows\system32\rundat.exe c:\windows\bhrfr.exe c:\windows\saageg.exe c:\windows\dgweg.exe c:\windows\dgeg.exe c:\windows\iihrn.exe c:\windows\vghrn.exe c:\windows\hrveki.exe Driver:: Folder:: Registry:: FileLook:: DirLook::
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
- отключите восстановление системы
Потом снова включите.
Вручную попробуйте удалить файлы:
Перезагрузитесь и повторите лог combofixКод:c:\windows\exvss.exe c:\windows\hfrssss.exe c:\windows\system32\safari.exe c:\windows\system32.exe c:\windows\system32\rundat.exe c:\windows\bhrfr.exe c:\windows\saageg.exe c:\windows\dgweg.exe c:\windows\dgeg.exe c:\windows\iihrn.exe c:\windows\vghrn.exe c:\windows\hrveki.exe
ComboFix.txt
c:\windows\system32.exe
c:\windows\system32\rundat.exe
этих двух небыло в папках.
Выполните в ComboFix следующий скрипт:Код:KillAll:: File:: c:\windows\system32\safari.exe DDS:: uStart Page = hxxp://www.dosearches.com/?utm_source=b&utm_medium=smt&utm_campaign=rg&utm_content=hp&from=smt&uid=HitachiXHDP725040GLA360_GEB430RE167WEF167WEFX&ts=1383768588 mStart Page = hxxp://www.dosearches.com/?utm_source=b&utm_medium=smt&utm_campaign=rg&utm_content=hp&from=smt&uid=HitachiXHDP725040GLA360_GEB430RE167WEF167WEFX&ts=1383768588 Driver:: Folder:: Registry:: FileLook:: DirLook::
WBR,
Vadim
+ Security Task Manager удалите
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
ComboFix.txt
safari.exe всеравно остался
Включите системный брандмауэр, удалите файл вручную. Последите, не появится ли снова.
WBR,
Vadim