Подцепил трояна,пытался удалить через безопасный режим удалил openvg.exe,onion.exe.После перезапуска ноута они снова появились и начинают нагружать комп,после каждого запуска приходиться их удалять.Заранее спасибо
Подцепил трояна,пытался удалить через безопасный режим удалил openvg.exe,onion.exe.После перезапуска ноута они снова появились и начинают нагружать комп,после каждого запуска приходиться их удалять.Заранее спасибо
Уважаемый(ая) FuFik20134, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); QuarantineFile('C:\Users\НИКИТА\appdata\local\temp\svchost.exe',''); QuarantineFile('C:\Users\A84D~1\AppData\Local\Temp\SSLEAY32.dll',''); QuarantineFile('C:\Users\A84D~1\AppData\Local\Temp\LIBEAY32.dll',''); TerminateProcessByName('c:\users\a84d~1\appdata\local\temp\onion.exe'); QuarantineFile('c:\users\a84d~1\appdata\local\temp\onion.exe',''); DeleteFile('c:\users\a84d~1\appdata\local\temp\onion.exe','32'); DeleteFile('C:\Users\A84D~1\AppData\Local\Temp\LIBEAY32.dll','32'); DeleteFile('C:\Users\A84D~1\AppData\Local\Temp\SSLEAY32.dll','32'); DeleteFile('C:\Users\НИКИТА\appdata\local\temp\svchost.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
что обозначает пришлите карантин согласно приложения 2??
- - - Добавлено - - -
ничего не изменилось,после скрипта
Читайте Приложение 2 правил - там все написано
Где лог МВАМ?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
сейчас будет
- - - Добавлено - - -
скоро допровериться mbam и скину лог
- - - Добавлено - - -
почему то долго очень проверяет(
- - - Добавлено - - -
Наконец допроверял
Удалите в МВАМ только указанные ниже записиКод:C:\Users\НИКИТА\AppData\Local\Temp\svchost.exe (PUP.Optional.Cgminer) -> Действие не было предпринято. C:\Users\НИКИТА\Downloads\DownloadSetup__2299_i284130839_il12.exe (PUP.Optional.InstallMonetizer) -> Действие не было предпринято. D:\Новая папка (2)\avz4\avz4\Quarantine\2014-02-19\2014-02-19.zip (PUP.Optional.Cgminer) -> Действие не было предпринято. C:\Users\НИКИТА\AppData\Local\Temp\svchost.exe (Trojan.Agent.Gen) -> Действие не было предпринято. C:\Users\НИКИТА\AppData\Local\Temp\phatk121016.cl (Trojan.BitcoinMiner) -> Действие не было предпринято. C:\Users\НИКИТА\AppData\Local\Temp\scrypt130511.cl (Trojan.BitcoinMiner) -> Действие не было предпринято. C:\Users\НИКИТА\AppData\Local\Temp\diablo130302.cl (Trojan.BitcoinMiner) -> Действие не было предпринято. C:\Users\НИКИТА\AppData\Local\Temp\poclbm130302.cl (Trojan.BitcoinMiner) -> Действие не было предпринято. C:\Users\НИКИТА\AppData\Local\Temp\diakgcn121016.cl (Trojan.BitcoinMiner) -> Действие не было предпринято.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
тоисть на то что он нашел удалить?я прочитал на форуме что после проверки и т п его нужно удалить...поторопился
Значит вручную удаляйте указанные мной файлы
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Удалил,но после перезагрузки все файлы востоновились
Сделайте лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
как выключить фаервол и т п?
- - - Добавлено - - -
какой то файл касперский находит называеться gal_st2.dll
Вот зделал
с теми же именами?
Выполните скрипт в uVS и пришлите карантин
Код:;uVS v3.82 [http://dsrt.dyndns.org] ;Target OS: NTv6.2 OFFSGNSAVE BREG dirzooex %SystemDrive%\USERS\НИКИТА\APPDATA\ROAMING\HARD DISK SENTINEL zoo %SystemDrive%\USERS\НИКИТА\APPDATA\ROAMING\HARD DISK SENTINEL\HDS_CONTROL_REMOVE.VBS czoo
достаточно отключить только касперского.
снова gal_st2 появился
- - - Добавлено - - -
где искать етот карантин??
+ лог ComboFix-а ждём.6. Зайдите в папку где распакована UVS найдите архив имя которого отвечает дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2012-08-21_20-05-27.7z) если архив отсутствует, то заархивруйте папку ZOO в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы. (в некоторых случаях карантина может не быть - папка ZOO_ не появилась или там только текстовые файлы)
прислал,логи комбофикса уже завтра,а то позно уже
onion и openvg о себе незаявляют,странно ето как-то
проблема решена?
лог комбофикса делали? Если ещё не делали и проблема решена, то лог не нужен. А если успели сделать, то прикрепите.
Уважаемый(ая) FuFik20134, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.