При перезапуске Windows открываются сообщения с вирусами (DrWeb), сканер что-то удаляет, но при следующем запуске - то же, но другие имена вирусов. Ряд программ не запускается.
При перезапуске Windows открываются сообщения с вирусами (DrWeb), сканер что-то удаляет, но при следующем запуске - то же, но другие имена вирусов. Ряд программ не запускается.
Уважаемый(ая) DrWlad, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); QuarantineFile('C:\recycler\mscinet.exe',''); QuarantineFile('C:\Users\Администратор\AppData\Roaming\Identities\ujyje\ujyje.exe',''); QuarantineFile('C:\ProgramData\CreativeAudio\dtdasndku.exe',''); QuarantineFile('c:\progra~2\mslquhmz.exe',''); DeleteFile('c:\progra~2\mslquhmz.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','37059'); DeleteFile('C:\Users\Администратор\AppData\Roaming\Identities\ujyje\ujyje.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Update'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CreativeAudio'); DeleteFile('C:\Windows\system32\Tasks\Windows Update Check - 0x0E7302EC','32'); DeleteFile('C:\recycler\mscinet.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExxecuteRepair(9); RebootWindows(false); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Карантин выслал. Кстати, в скрипте была ошибка: ExxecuteRepair(9) ->ExecuteRepair(9)
Новые логи высылать сейчас? Или подождать?
- - - Добавлено - - -
Высылаю новые логи AVZ и HJ. Сканирование MBAM еще делается. По завершении прикреплю и его.
P.S. После отработки скрипта практически все осталось по-прежнему.
P.P.S. Прикрепил лог MBAM
Последний раз редактировалось DrWlad; 21.02.2014 в 22:05.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; QuarantineFile('C:\RECYCLER\mscinet.exe', 'MBAM: Trojan.Inject.ED'); QuarantineFile('C:\ProgramData\msxirbt.exe', 'MBAM: Trojan.Inject.ED'); QuarantineFile('C:\ProgramData\CreativeAudio\rpeulaaql.exe', 'MBAM: Trojan.Inject.ED'); QuarantineFile('C:\ProgramData\msacgxdt.exe', 'MBAM: Trojan.Inject.ED'); QuarantineFile('C:\ProgramData\msametq.exe', 'MBAM: Backdoor.Andromeda'); QuarantineFile('C:\ProgramData\msgtwpomp.exe', 'MBAM: Trojan.Zbot'); QuarantineFile('C:\ProgramData\mshadiu.exe', 'MBAM: Trojan.Inject.ED'); QuarantineFile('C:\ProgramData\msiztj.exe', 'MBAM: Trojan.Inject.ED'); QuarantineFile('C:\ProgramData\msoagi.exe', 'MBAM: Trojan.Inject.ED'); QuarantineFile('C:\ProgramData\msouwtir.exe', 'MBAM: Trojan.Zbot'); QuarantineFile('C:\ProgramData\msrrhqqi.exe', 'MBAM: Trojan.Zbot'); QuarantineFile('C:\ProgramData\msxapqm.exe', 'MBAM: Trojan.Zbot'); QuarantineFile('C:\ProgramData\msxexr.exe', 'MBAM: Trojan.Zbot'); QuarantineFile('C:\ProgramData\msxjwj.exe', 'MBAM: Backdoor.Andromeda'); QuarantineFile('C:\Users\Администратор\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8E8T1DBK\api1[1].gif', 'MBAM: Extension.Mismatch'); QuarantineFile('C:\Users\Администратор\AppData\Roaming\B9F8.exe', 'MBAM: Trojan.Inject.ED'); QuarantineFile('C:\Users\Администратор\AppData\Roaming\D027.exe', 'MBAM: Trojan.Zbot'); BC_ImportAll; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Удалите в МВАМ все, кромеКод:C:\Program Files\WinRAR\original\RAR Slayer v1.1.exe (Malware.Tool) -> Действие не было предпринято. C:\Program Files\Total Commander\Utilites\MPR\block_reader.sys (Riskware.MPR) -> Действие не было предпринято. C:\Program Files\Total Commander\Utilites\MPR\HookLib.dll (Spyware.Password.HL) -> Действие не было предпринято. C:\Program Files\Total Commander\Utilites\MPR\MPR.exe (Riskware.MPR) -> Действие не было предпринято. C:\Program Files\Total Commander\Utilites\MPR\UpdateChecker.exe (Riskware.MPR) -> Действие не было предпринято. C:\Program Files\Total Commander\Utilites\WinHex\keygen.exe (RiskWare.Tool.CK) -> Действие не было предпринято. D:\Install\WinKey\KEYFINDER 1.53.EXE (PUP.OficeKey) -> Действие не было предпринято.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Карантин отправил. После выполнения скрипта, удаления в МВАМ всего и перезагрузки все файлы и ветки реестра, ранее присутствовавшие в логах удалились. Но сразу после перезапуска в каталоге ...\AppData\Roaming\ перехватчик Drweb удаляет файл типа Yxxx.exe, (Y - буква, xxx - три цифры). Откуда он берется, неясно. Боюсь, после пары перезапусков все станет как раньше.
Спасибо. До завтра.
Сделайте лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Отправил лог ComboFix
1) Сделайте полный образ автозапуска uVS только программу скачайте отсюда
2) Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt на диск С.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: Driver:: Folder:: Registry:: [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\rstrui.exe] "Debugger"=- FileLook:: DirLook:: Reboot::
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
3) Запакуйте в архив с паролем "virus" папку C:\Qoobox\Quarantine\ - C:\ - Ваш системный диск
Полученный архив загрузите по ссылке Прислать запрошенный карантин вверху темы.
1. Образ uVS сделал: во вложении.
2. Запуск ComboFix.exe со скриптом CFScript.txt состоялся, но завис посредине. В карантин ничего не легло. Сейчас запустил снова. Жду.
- - - Добавлено - - -
Отправил карантин ComboFix-а с паролем "virus" и его отчет во вложении.
Явных проявлений вирусов уже нет. Но:
1. Так и не удалился ключ реестра [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\rstrui.exe]
"Debugger"=odoa.exe
2. И там же неудаляемая ветка реестра
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\qpqpdndnn.exe]
с пустым ключем
"DisableExceptionChainValidation".
3. Не работает Windows Update, хотя это могут быть последствия от прошлой деятельности вирусов.
Последний раз редактировалось DrWlad; 23.02.2014 в 19:45.
1) Выполните скрипт в uVS
Код:;uVS v3.82 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE BREG delall ODOA.EXE delref %SystemDrive%\PROGRAMDATA\CREATIVEAUDIO\JFOQKOTIU.EXE delref %Sys32%\XYO.DLL delref %SystemDrive%\LOGONSCREENROTATOR\LOGONSCREENROTATOR.EXE restart
2) удалите вручную через regedit.
Заодно проверьте если "Debugger"=odoa.exe остался его тоже удалите.
Скрипт отработал, лог во вложении. odoa.exe остался.
Если бы я эти ключи мог удалить или отредактировать, то давно бы это сделал. Я же пишу: они недоступны для удаления/редактирования, не позволяют сменить владельца, вообще ничего не позволяют с собой делать, хотя работаю из-под учетки администратора.удалите вручную через regedit
Если бы это было на моем компьютере, я бы загрузился с LiveCD и отредактировал эти ветки. Но я пытаюсь очистить от вирусов систему по TeamViewer в другом городе на компе у своей сестры. Так что в возможностях весьма ограничен (поэтому и задержки в исполнении Ваших указаний).
Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt на диск С.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: Driver:: Folder:: RegLockDel:: [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\qpqpdndnn.exe] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\rstrui.exe] Registry:: [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\qpqpdndnn.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\rstrui.exe] FileLook:: DirLook:: Reboot::
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Скрипт не сработал, т. е. ветки на месте. Лог во вложении.
Последний раз редактировалось DrWlad; 24.02.2014 в 18:27.
Лог Gmer
Скопируйте нижеприведенный текст в Блокнот и сохраните как cleanup.bat в папку, где находится gmer.exe
Запустите cleanup.batКод:ui3ufj6m.exe -del reg "HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\qpqpdndnn.exe" ui3ufj6m.exe -del reg "HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\rstrui.exe" ui3ufj6m.exe -reboot
ВНИМАНИЕ:После выполнения скрипта, компьютер перезагрузится!!!
проверьте ключи остались? Если остались попробуем другим способом.
Ветки остались, а в момент срабатывания скрипта были такие сообщения:
Выполните скрипт в uVS
проверьте результат.Код:;uVS v3.82 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 BDREG vreg delall ODOA.EXE areg
Обе ветки
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\qpqpdndnn.exe]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\rstrui.exe]
остались на месте. Но исчез ключ
"Debugger"=odoa.exe
Лог:
Уважаемый(ая) DrWlad, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.