Проверял с помощью drweb livecd, был вирус Trojan.Yontoo.
При выполнении №3 "Скрипт лечения/карантина и сбора информации для раздела" AVZ зависает, №2 "Скрипт сбора информации для раздела " выполняет, но папка LOG не создается и архивов логов нет.
Лог HijackThis выполнился, но не сразу.
Сейчас проявляется медленная работа браузеров и зависание программ.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Петя Камушкин, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Отключите проактивную защиту (HIPS) и AutoSandbox и собственно антивирус Comodo и сделайте логи AVZ.
WBR,
Vadim
Выполнил
Уведомление
Все операции по сбору логов и лечению производить при отключённых компонентах Comodo
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\program files\media saver\basement\mslsservice.exe'); TerminateProcessByName('c:\program files\igs\optimizermonitor.exe'); TerminateProcessByName('c:\documents and settings\comp\local settings\application data\igs\igsrv.exe'); TerminateProcessByName('c:\program files\torrent search\basement\extensionupdaterservice.exe'); TerminateProcessByName('c:\program files\media saver\basement\extensionupdaterservice.exe'); TerminateProcessByName('c:\documents and settings\comp\local settings\application data\convertad\casrv.exe'); QuarantineFile('C:\Documents and Settings\comp\Local Settings\Application Data\SmartWeb\SmartWebHelper.exe', ''); QuarantineFile('C:\Program Files\SavePass 1.1\cdecec79-9774-4fe6-8302-28bba4aedc36-1-6.exe', ''); QuarantineFile('C:\Program Files\Torrent Search\Toolbar32.dll', ''); QuarantineFile('C:\Program Files\Media Saver\Toolbar32.dll', ''); QuarantineFile('C:\WINDOWS\system32\OptimizerMonitor.dll', ''); QuarantineFile('C:\Program Files\IGS\OptimizerMonitorCert.dll', ''); QuarantineFile('c:\program files\igs\optimizermonitor.exe', ''); QuarantineFile('c:\program files\media saver\basement\mslsservice.exe', ''); QuarantineFile('c:\program files\media saver\basement\mslserver.exe', ''); QuarantineFile('c:\documents and settings\comp\local settings\application data\igs\igsrv.exe', ''); QuarantineFile('c:\program files\torrent search\basement\extensionupdaterservice.exe', ''); QuarantineFile('c:\program files\media saver\basement\extensionupdaterservice.exe', ''); QuarantineFile('c:\documents and settings\comp\local settings\application data\convertad\casrv.exe', ''); DeleteFile('c:\documents and settings\comp\local settings\application data\convertad\casrv.exe', '32'); DeleteFile('c:\program files\media saver\basement\extensionupdaterservice.exe', '32'); DeleteFile('c:\program files\torrent search\basement\extensionupdaterservice.exe', '32'); DeleteFile('c:\documents and settings\comp\local settings\application data\igs\igsrv.exe', '32'); DeleteFile('c:\program files\media saver\basement\mslserver.exe', '32'); DeleteFile('c:\program files\media saver\basement\mslsservice.exe', '32'); DeleteFile('c:\program files\igs\optimizermonitor.exe', '32'); DeleteFile('C:\Program Files\IGS\OptimizerMonitorCert.dll', '32'); DeleteFile('C:\WINDOWS\system32\OptimizerMonitor.dll', '32'); DeleteFile('C:\IEXPLORE.bat', '32'); DeleteFile('C:\firefox.bat', '32'); DeleteFile('C:\opera.bat', '32'); DeleteFile('C:\Program Files\Media Saver\Toolbar32.dll', '32'); DeleteFile('C:\Program Files\Torrent Search\Toolbar32.dll', '32'); DeleteFile('C:\Program Files\SavePass 1.1\cdecec79-9774-4fe6-8302-28bba4aedc36-1-6.exe', '32'); DeleteFile('C:\WINDOWS\Tasks\cdecec79-9774-4fe6-8302-28bba4aedc36-1-6.job', '32'); DeleteFile('C:\WINDOWS\Tasks\cdecec79-9774-4fe6-8302-28bba4aedc36-1-7.job', '32'); DeleteFile('C:\WINDOWS\Tasks\cdecec79-9774-4fe6-8302-28bba4aedc36-10_user.job', '32'); DeleteFile('C:\WINDOWS\Tasks\cdecec79-9774-4fe6-8302-28bba4aedc36-11.job', '32'); DeleteFile('C:\WINDOWS\Tasks\cdecec79-9774-4fe6-8302-28bba4aedc36-4.job', '32'); DeleteFile('C:\WINDOWS\Tasks\cdecec79-9774-4fe6-8302-28bba4aedc36-5.job', '32'); DeleteFile('C:\Documents and Settings\comp\Local Settings\Application Data\SmartWeb\SmartWebHelper.exe', '32'); DeleteFile('C:\WINDOWS\Tasks\SmartWeb Upgrade Trigger Task.job', '32'); DeleteService('{c8124bc5-de1f-42ab-9131-4decda108224}t'); DeleteService('{be073b13-44ce-4697-9dcc-760851ee3095}t'); DeleteService('{b33bad7d-9181-4151-aac2-0430dbba57bf}t'); DeleteService('{955021cf-f8cd-47fc-8103-922bd5d96dce}t'); DeleteService('{7dea7268-9c6e-4b06-b08b-3a982ca47f10}t'); DeleteService('{7b6c2bce-7488-4c10-a27d-8b64a0e23266}t'); DeleteService('{70446c59-7ece-4c3a-b452-0feb57876276}t'); DeleteService('{6571ba1e-bf60-4c34-b63c-0a34e3f9dfbd}t'); DeleteService('{60efccb4-9a74-42f2-a159-4ecc4dc9afc5}t'); DeleteService('{60823701-6982-46a8-8b19-7d11aa972d2f}t'); DeleteService('{60823701-6982-46a8-8b19-7d11aa972d2f}Gt'); DeleteService('{5c6ed826-90c1-4263-90ce-56a656a6e38f}t'); DeleteService('{3e8df589-8978-47fb-b852-51e65d6286ca}t'); DeleteService('{39127f03-bf69-4acb-a0b8-4e4a4b46b352}t'); DeleteService('{29b70781-b1b9-483d-85cb-a9a353c67c63}Gt'); DeleteService('{24d977ed-89e9-442a-81d5-d6d340725fa7}t'); DeleteService('{21fa9d24-8126-4127-bfe7-529edd33a319}t'); DeleteFileMask('C:\Documents and Settings\comp\Local Settings\Application Data\SmartWeb', '*', true); DeleteFileMask('C:\Program Files\SavePass 1.1', '*', true); DeleteFileMask('C:\Program Files\Torrent Search', '*', true); DeleteFileMask('C:\Program Files\Media Saver\', '*', true); DeleteFileMask('c:\program files\igs', '*', true); DeleteFileMask('c:\documents and settings\comp\local settings\application data\igs', '*', true); DeleteFileMask('c:\documents and settings\comp\local settings\application data\convertad', '*', true); DeleteDirectory('C:\Documents and Settings\comp\Local Settings\Application Data\SmartWeb'); DeleteDirectory('C:\Program Files\SavePass 1.1'); DeleteDirectory('C:\Program Files\Torrent Search'); DeleteDirectory('C:\Program Files\Media Saver\'); DeleteDirectory('c:\program files\igs'); DeleteDirectory('c:\documents and settings\comp\local settings\application data\igs'); DeleteDirectory('c:\documents and settings\comp\local settings\application data\convertad'); DelSPIByFileName('C:\WINDOWS\system32\OptimizerMonitor.dll', false); DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}'); DelBHO('{44627DAE-18B6-4ABC-8B22-13979EDFC56D}'); DelBHO('{cf6bd74e-5c54-4129-8b10-c931bc156fe8}'); DelBHO('{05EB6920-D8AD-4350-BEF1-4F7107F70431}'); DelBHO('{1D355335-BE86-4418-AC98-2436CC3D6D74}'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\upgmsd_ru_107.exe', 'command'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SmartWeb', 'command'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MailRuUpdater', 'command'); BC_ImportDeletedList; ExecuteSysClean; ExecuteRepair(2); ExecuteRepair(4); ExecuteRepair(3); ExecuteWizard('SCU', 2, 2, true); ExecuteWizard('TSW', 2, 2, true); BC_Activate; RebootWindows(true); end.
Выполните в AVZ скрипт:
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Внимание
Если после предыдущего скрипта пропадёт интернет, выполните скрипт в AVZ
(с последующей автоматической перезагрузкой).Код:begin ExecuteRepair(14); RebootWindows(false); end.
Сохраните этот скрипт заранее!
Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
Сделайте лог AdwCleaner (by Xplode).
Сделайте лог Check Browsers' LNK.
WBR,
Vadim
Ваши права в разделе
Ответить с цитированием
