Пардон за долгое отсутсвие,но проблема так и не решена,после перезагрузки все возвращается на места.Повторил все процедуры со выполнением скрипта AVZ.Сделал полную проверку MBAM ,не помогло.
http://virusinfo.info/showthread.php?t=160921
Пардон за долгое отсутсвие,но проблема так и не решена,после перезагрузки все возвращается на места.Повторил все процедуры со выполнением скрипта AVZ.Сделал полную проверку MBAM ,не помогло.
http://virusinfo.info/showthread.php?t=160921
Уважаемый(ая) aposter, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Делайте логи по правилам.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Куда можно загрузить логи автозапуска uVS ?
P.S Если так можно вот:
http://gfile.ru/abRZG
MBAM лог сделать не могу,не открывается..
Последний раз редактировалось mike 1; 03.07.2014 в 02:19. Причина: Карантин в теме
Здравствуйте!
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:Код:begin ExecuteAVUpdate; ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; ClearQuarantine; QuarantineFile('E:\Program Files\Common Files\CreativeAudio\spdwznjxt.exe',''); QuarantineFile('E:\DOCUME~1\ALLUSE~1\msaimqt.exe',''); QuarantineFile('E:\DOCUME~1\9226~1\LOCALS~1\Temp\windows\winsys.exe',''); QuarantineFile('E:\DOCUME~1\9226~1\LOCALS~1\Temp\sppp.exe',''); QuarantineFile('E:\DOCUME~1\9226~1\LOCALS~1\Temp\fsdgs.exe',''); QuarantineFile('C:\RECYCLER\mscinet.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-15454476\654545443.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1162446\6462143.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-115454446\64543143.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-115435446\64543143.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1103311146\614061143.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-103311146\64061143.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-103311146\64061143.exe','32'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1103311146\614061143.exe','32'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-115435446\64543143.exe','32'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-115454446\64543143.exe','32'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1162446\6462143.exe','32'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-15454476\654545443.exe','32'); DeleteFile('C:\RECYCLER\mscinet.exe','32'); DeleteFile('E:\DOCUME~1\9226~1\LOCALS~1\Temp\fsdgs.exe','32'); DeleteFile('E:\DOCUME~1\9226~1\LOCALS~1\Temp\sppp.exe','32'); DeleteFile('E:\DOCUME~1\9226~1\LOCALS~1\Temp\windows\winsys.exe','32'); DeleteFile('E:\DOCUME~1\ALLUSE~1\msaimqt.exe','32'); DeleteFile('E:\Program Files\Common Files\CreativeAudio\spdwznjxt.exe','32'); DeleteFile('E:\WINDOWS\Tasks\At1.job','32'); DeleteFile('E:\WINDOWS\Tasks\At2.job','32'); DeleteFile('E:\WINDOWS\Tasks\At3.job','32'); DeleteFile('E:\WINDOWS\Tasks\At4.job','32'); RegKeyResetSecurity('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','a43123'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','a413123'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','a43135623'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','a435454623'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','a4624623'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','a545435623'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Security Firewall Manager'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MicrosoftPerfWD'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MicrosoftStCnt'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Service'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','4094607473'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CreativeAudio'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CreativeAudio'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('SCU', 2, 2, true); BC_Activate; ExecuteRepair(9); RebootWindows(false); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)Код:O4 - HKLM\..\Run: [CreativeAudio] "E:\Program Files\Common Files\CreativeAudio\spdwznjxt.exe" O4 - HKCU\..\Run: [MicrosoftPerfWD] "E:\DOCUME~1\9226~1\LOCALS~1\Temp\fsdgs.exe" O4 - HKCU\..\Run: [Windows Security Firewall Manager] C:\RECYCLER\mscinet.exe O4 - HKCU\..\Run: [Windows Update Service] E:\DOCUME~1\9226~1\LOCALS~1\Temp\windows\winsys.exe O4 - HKCU\..\Run: [CreativeAudio] "E:\Program Files\Common Files\CreativeAudio\spdwznjxt.exe" O4 - HKCU\..\Run: [a43135623] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-115435446\64543143.exe O4 - HKCU\..\Run: [a545435623] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-15454476\654545443.exe O4 - HKCU\..\Run: [MicrosoftStCnt] "E:\DOCUME~1\9226~1\LOCALS~1\Temp\sppp.exe" O4 - HKCU\..\Run: [a435454623] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-115454446\64543143.exe O4 - HKCU\..\Run: [a4624623] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1162446\6462143.exe O4 - HKCU\..\Run: [a413123] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1103311146\614061143.exe O4 - HKCU\..\Run: [a43123] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-103311146\64061143.exe O4 - HKLM\..\Policies\Explorer\Run: [4094607473] E:\DOCUME~1\ALLUSE~1\msaimqt.exe
- Скачайте Universal Virus Sniffer (uVS)
- Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
- Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.- Дождитесь окончания работы программы и прикрепите лог к посту в теме.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Подробнее читайте в руководстве как подготовить лог UVS
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
140702_223922_quarantine_53b48a1a32e11.zip
Размер файла 1167292
MD5 07ecfb1127cc7649cc5d63d06951578f
Последний раз редактировалось aposter; 03.07.2014 в 03:02.
Лог uVS похоже старый. Сделайте новый лог
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Вот
Проблема помоему решена,компьютер не грузится,автозагрузка стандартная(подозрительных процессов нет).
- Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
- Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
- Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
Код:;uVS v3.82.5 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE breg addsgn 1A166C9A5583528CF42B254E3143FE84C95AFEF6895B1F7AC4C3F679D9938DC5A6F73EA8C1DC1095D67F7B16D3CEB405825675A6A8254FA598A759D0388F9FBF 8 virus zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АЛСУ\LOCAL SETTINGS\TEMP\FSDGS.EXE bl 6731A93B5A9F3583C7F920F56BC3F7B8 154624 delall %SystemDrive%\DOCUMENTS AND SETTINGS\АЛСУ\LOCAL SETTINGS\TEMP\FSDGS.EXE addsgn 1A7F119A5583C58CF42B831567C81271070914F2FDED9C9088B7C9F424D5428CE0AFC7533E555EF13984849F85AE4DF27DDF2BCA44DEB02CEEFC5B79908DD21B 8 Trojan.Win32.Yakes.fcgo [Kaspersky] zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\CREATIVEAUDIO\IFBXQLLFF.EXE bl 0FF4E2047FA2F5C263E7062AA5013DB4 323072 delall %SystemDrive%\PROGRAM FILES\COMMON FILES\CREATIVEAUDIO\IFBXQLLFF.EXE addsgn 1AC86F9A5583528CF42B254E3143FE84C9A2FFF68959FF54C7C34CB18CFA334CAA021B7B7C551454FFACC69FCF2399D63FDF614F99F6F22C4BFBB1D7EB442215 8 Win32.HLLW.Autoruner2.1926 [DrWeb] zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\CREATIVEAUDIO\IJIUJSNJB.EXE bl 22289D1622FF8F2C41F7FDE558933BF8 303104 delall %SystemDrive%\PROGRAM FILES\COMMON FILES\CREATIVEAUDIO\IJIUJSNJB.EXE delall %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.URL delall C:\RECYCLER\MSCINET.EXE bl 7A14248212100E80F05EBE4BAB17CE58 173568 delall %SystemDrive%\DOCUMENTS AND SETTINGS\АЛСУ\LOCAL SETTINGS\TEMP\ADOBE\READER_SL.EXE delall %SystemDrive%\PROGRAM FILES\COMMON FILES\CREATIVEAUDIO\SPDWZNJXT.EXE addsgn 1AAE129A5583528CF42B627DA804DEC9A5F0F2F3FCEB79F3189F3A43AF56BE4EA3F03DE401BE992F90BF97F9CF8B1705822031DF0B254FD3965BFF6EC7DFC7FA 8 Trojan.Win32.Yakes.fgrp [Kaspersky] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИН\APPLICATION DATA\10.EXE bl CAF4F85D83442F793817F43167426334 317952 delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИН\APPLICATION DATA\10.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИН\APPLICATION DATA\16.EXE bl 36B94E15EB02D55365222DDA252952C4 205824 delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИН\APPLICATION DATA\C731200 clrmd chklst delvir deltmp delnfr restart- В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
- Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
- После выполнения скрипта упакуйте содержимое папки ZOO с помощью WinRar, 7-Zip или WinZip в архив формата .ZIP с паролем virus и отправьте этот файл по ссылке "Прислать запрошенный карантин" над первым сообщением в теме.
Сделайте лог полного сканирования MBAM
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
После вышеуказанных действий,windows перестал грузиться фон "приветствия" завис,так же не открывался в безопасном режиме..пришлось переустановить систему.Огромное спасибо за помощь!
Жалко.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 32
- В ходе лечения обнаружены вредоносные программы:
- c:\recycler\mscinet.exe - P2P-Worm.Win32.Palevo.hoej
- c:\recycler\s-1-5-21-0243556031-888888379-781863308-103311146\64061143.exe - Backdoor.Win32.Azbreg.aady ( AVAST4: Win32:Malware-gen )
- c:\recycler\s-1-5-21-0243556031-888888379-781863308-1103311146\614061143.exe - Backdoor.Win32.Azbreg.aadz
- c:\recycler\s-1-5-21-0243556031-888888379-781863308-115435446\64543143.exe - Backdoor.Win32.Azbreg.aadf ( BitDefender: Gen:Variant.Zusy.97667, AVAST4: Win32:Malware-gen )
- c:\recycler\s-1-5-21-0243556031-888888379-781863308-115454446\64543143.exe - Worm.Win32.Hamweq.pmu ( BitDefender: Trojan.GenericKD.1736069 )
- c:\recycler\s-1-5-21-0243556031-888888379-781863308-1162446\6462143.exe - Worm.Win32.Hamweq.pmv ( BitDefender: Trojan.GenericKD.1736572 )
- c:\recycler\s-1-5-21-0243556031-888888379-781863308-15454476\654545443.exe - Worm.Win32.Hamweq.pmw ( BitDefender: Trojan.GenericKD.1736070, AVAST4: Win32:Malware-gen )
- e:\program files\common files\creativeaudio\spdwznjxt.exe - Trojan-Ransom.Win32.Foreign.kwix ( BitDefender: Trojan.GenericKD.1710673, AVAST4: Win32:Crypt-RAU [Trj] )
Уважаемый(ая) aposter, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.