Junior Member
Вес репутации
58
Пропадает место на диске
В общем проблема такая. Свалилась напасть на мой компьютер... Начало исчезать место с диска С! И перестали запускатся приложения.. некоторые, но не все.. Установщики тоже не работают. Установить программы можно только с диска. Антивирусы не запускаются или не устанавливаются... А если даже установились, то при запуске обычно выдаётся ошибка..(отправлять отчёт или нет). Когда начинаю запускать установщик программы, он висит в процессах несколько секунд, потом начинает исчезать и появляться и при этом копировать свои копии в папку TEMP(это я заметил только вчера). В общем после перезагрузки половина программ откзываются запускаться и начинается копирование их эксешников в папку Темп. Пытался скачать Cureit не скачивает.. просто, как только в начинаю искать его - браузер вылетает и именно на Cureit! Форматировал диск С три раза. Всё время оставаляся Svchost в папке Windows. Подскажите в чем проблема?
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\d6fagcs8.cmd','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\d6fagcs8.cmd','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
DeleteService('zxsderfbukjfyshlhdfrstdzhdfasht');
QuarantineFile('zxsderfbukjfyshlhdfrstdzhdfasht.sys','');
DeleteService('aic32p');
QuarantineFile('C:\WINDOWS\system32\drivers\jmrnl.sys','');
QuarantineFile('C:\WINDOWS\system32\wincab.sys','');
QuarantineFile('D:\d6fagcs8.cmd','');
QuarantineFile('C:\WINDOWS\system32\vcmgcd32.dll','');
QuarantineFile('C:\WINDOWS\system32\amvo0.dll','');
QuarantineFile('c:\docume~1\726e~1\locals~1\temp\winuyvij.exe','');
QuarantineFile('c:\docume~1\726e~1\locals~1\temp\winekyebw.exe','');
QuarantineFile('c:\docume~1\726e~1\locals~1\temp\winbffk.exe','');
QuarantineFile('d:\d6fagcs8.cmd','');
DeleteFile('d:\d6fagcs8.cmd');
DeleteFile('c:\docume~1\726e~1\locals~1\temp\winbffk.exe');
DeleteFile('c:\docume~1\726e~1\locals~1\temp\winekyebw.exe');
DeleteFile('c:\docume~1\726e~1\locals~1\temp\winuyvij.exe');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\lr4x.dll');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\winbffk.exe');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\winekyebw.exe');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\winuyvij.exe');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\dsp_sps.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\enc_aacplus.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\enc_flac.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\enc_lame.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\enc_wav.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\enc_wma.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\gen_ff.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\gen_hotkeys.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\gen_jumpex.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\gen_ml.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\gen_tray.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\in_cdda.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\in_flac.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\in_vorbis.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\in_linein.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\in_wave.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\ml_autotag.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\ml_dash.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\ml_disc.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\ml_local.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\ml_history.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\ml_nowplaying.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\ml_online.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\ml_orb.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\ml_playlists.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\ml_plg.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\ml_rg.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\ml_pmp.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\ml_transcode.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\ml_wire.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\out_wave.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\pmp_activesync.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\pmp_njb.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\pmp_p4s.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\pmp_usb.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\vis_nsfs.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\winamp.lng');
DeleteFile('C:\WINDOWS\system32\amvo0.dll');
DeleteFile('C:\WINDOWS\system32\vcmgcd32.dll');
DeleteFile('D:\d6fagcs8.cmd');
DeleteFile('C:\WINDOWS\system32\wincab.sys');
DeleteFile('C:\WINDOWS\system32\drivers\jmrnl.sys');
DeleteFile('zxsderfbukjfyshlhdfrstdzhdfasht.sys');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\WINDOWS\svchost.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\d6fagcs8.cmd');
DeleteFile('D:\autorun.inf');
DeleteFile('E:\autorun.inf');
DeleteFile('E:\d6fagcs8.cmd');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ....
выполните пункт 2 правил ....
повторите логи ...
Junior Member
Вес репутации
58
Cureit не качает... как начинаю закачку браузер просто вылетает и Опера и IE. Карантин отослал, но забыл поставить пароль.. за это извиняюсь... Вот логи..
Вложения
а АВЗ логи где? АВЗ автоматом ставит на карантин пароль.
Junior Member
Вес репутации
58
Простите за вопрос.. Я новенький в том деле. Опять выполнять скрипт сбора информации для раздела "Помогите" или они в какой-то папке хранятся?
Да снова необходимо выполнить стандартный скрипт 3 и 2, как вы делали это в первый раз.
Junior Member
Вес репутации
58
Вот логи... Карантин ещё раз высылать?
Вложения
отключите восстановление системы !!!!!
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('PowerManager');
DeleteFile('C:\WINDOWS\system32\vcmgcd32.dll');
DeleteFile('C:\WINDOWS\system32\drivers\jmrnl.sys');
DeleteFile('C:\WINDOWS\svchost.exe');
DeleteFile('c:\docume~1\726e~1\locals~1\temp\winsxor.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторите логи ...
Junior Member
Вес репутации
58
Вложения
Junior Member
Вес репутации
58
Вот новые логи... Друг принёс флешку с неё закинулся странный файл local.exe
Вложения
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\System_Cache\locale.exe','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('D:\System_Cache\locale.exe','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\System_Cache\locale.exe','');
QuarantineFile('C:\WINDOWS\system32\vcmgcd32.dll','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\ntfsours.exe','');
QuarantineFile('C:\WINDOWS\system32\locale.exe','');
DeleteService('aic32p');
QuarantineFile('C:\WINDOWS\system32\drivers\jmrnl.sys','');
QuarantineFile('c:\docume~1\726e~1\locals~1\temp\winxebyvh.exe','');
TerminateProcessByName('c:\docume~1\726e~1\locals~1\temp\winxebyvh.exe');
QuarantineFile('c:\docume~1\726e~1\locals~1\temp\winltmd.exe','');
TerminateProcessByName('c:\program files\winrar\winrar.exe');
TerminateProcessByName('c:\docume~1\726e~1\locals~1\temp\winltmd.exe');
QuarantineFile('d:\system_cache\locale.exe','');
DeleteFile('d:\system_cache\locale.exe');
DeleteFile('c:\docume~1\726e~1\locals~1\temp\winxebyvh.exe');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\winltmd.exe');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\winxebyvh.exe');
DeleteFile('D:\System_Cache\locale.exe');
DeleteFile('C:\WINDOWS\system32\drivers\jmrnl.sys');
DeleteFile('C:\WINDOWS\system32\locale.exe');
DeleteFile('C:\WINDOWS\system32\ntfsours.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\vcmgcd32.dll');
DeleteFile('C:\System_Cache\locale.exe');
DeleteFile('D:\autorun.inf');
DeleteFile('E:\autorun.inf');
DeleteFile('E:\System_Cache\locale.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ....
выполните пункт 2 правил .... (обязательно)
повторите логи ...
Junior Member
Вес репутации
58
Скрипт выполнил! local.exe исчезли! Спасибо! Вот логи... Cureit не хочет качаться... точнее когда я пытаюсь скачать ИМЕННО его.. браузер вылетает... Пробывал с потралов софта и фтп дрвеб... Всё равно вылетает...
Вложения
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\jmrnl.sys','');
QuarantineFile('c:\docume~1\726e~1\locals~1\temp\winjvrkcu.exe','');
TerminateProcessByName('c:\docume~1\726e~1\locals~1\temp\winjvrkcu.exe');
DeleteFile('c:\docume~1\726e~1\locals~1\temp\winjvrkcu.exe');
DeleteFile('C:\WINDOWS\system32\drivers\jmrnl.sys');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(9);
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ....
Cureit скачайте http://slil.ru/25984750
повторите логи ...
Junior Member
Вес репутации
58
Скрипт выполнил... Вот логи... Доктор Веб не скачивается... Я если честно первый раз с таким сталкиваюсь. Не с той ссылки которую вы мне дали. Не откуда! Попросил друга скачать.. он скачал.. я у него начинаю качать и просто программа закачки на 91% останавливается! Пробывали переименовать безрезультатно... Может надо полностью жёсткий диск форматировать?
Вложения
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('PowerManager');
QuarantineFile('C:\WINDOWS\system32\drivers\jmrnl.sys','');
QuarantineFile('C:\WINDOWS\system32\vcmgcd32.dll','');
DeleteFile('C:\WINDOWS\system32\vcmgcd32.dll');
DeleteFile('C:\WINDOWS\system32\drivers\jmrnl.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ....
Cureit друг же скачал запишите у него на диск и провертесь с диска как и нужно ...
повторите логи ...
Junior Member
Вес репутации
58
Снова я) Вроде только всё нормализовалось.. и опять... На этот раз Win32.sector 5 и 7... В интернете прочитал.. что они удаляют ветки реестра ответсвенные за безопасный режим.. и не дают скачать доктор веб и касперский.. Не запускаются антивирусы! Хелперы нужна помощь!
Вложения
нужно сделать диск аварийного восстановления на чистой машине с обновленнім касперским ... пролечить машину ... затем новые логи ...
Junior Member
Вес репутации
58
а что такое диск аварийного восстановления?
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 3 Обработано файлов: 27 В ходе лечения обнаружены вредоносные программы:
c:\\autorun.inf - Virus.Win32.AutoIt.h (DrWEB: Win32.HLLW.Autoruner.1702) c:\\autorun.inf - Worm.Win32.AutoRun.coi (DrWEB: Win32.HLLW.Autoruner.1390) c:\\docume~1\\726e~1\\locals~1\\temp\\winekyebw.ex e - Trojan-PSW.Win32.Stealer.o (DrWEB: Trojan.HtmlChange.1) c:\\docume~1\\726e~1\\locals~1\\temp\\winuyvij.exe - Trojan.Win32.Agent.rlb (DrWEB: Trojan.Spambot.337 c:\\d6fagcs8.cmd - Packed.Win32.PolyCrypt.h (DrWEB: Trojan.MulDrop.6474) c:\\system volume information\\_restore{187e9917-77c0-43a3-9985-711496799676}\\rp4\\a0003019.exe - Virus.Win32.Hidrag.a (DrWEB: Win32.HLLP.Jeefo.36352) c:\\system_cache\\locale.bak - Virus.Win32.Sality.z (DrWEB: Win32.Sector.5) c:\\system_cache\\locale.exe - Virus.Win32.AutoIt.h (DrWEB: Win32.HLLW.Autoruner.1702) c:\\windows\\svchost.exe - Virus.Win32.Hidrag.a (DrWEB: Win32.HLLP.Jeefo.36352) c:\\windows\\system32\\amvo.exe - Packed.Win32.PolyCrypt.h (DrWEB: Trojan.MulDrop.6474) c:\\windows\\system32\\amvo0.dll - Worm.Win32.AutoRun.clp (DrWEB: Trojan.PWS.Wsgame.2387) c:\\windows\\system32\\locale.exe - Virus.Win32.Sality.q (DrWEB: Win32.HLLP.Sector) c:\\windows\\system32\\ntfsours.exe - Virus.Win32.Hidrag.a (DrWEB: Win32.HLLP.Jeefo.36352) c:\\windows\\system32\\vcmgcd32.dll - Virus.Win32.Sality.q (DrWEB: Win32.HLLP.Sector) d:\\autorun.inf - Worm.Win32.AutoRun.coi (DrWEB: Win32.HLLW.Autoruner.1390) d:\\autorun.inf - Virus.Win32.AutoIt.h (DrWEB: Win32.HLLW.Autoruner.1702) d:\\d6fagcs8.cmd - Packed.Win32.PolyCrypt.h (DrWEB: Trojan.MulDrop.6474) d:\\system_cache\\locale.exe - Virus.Win32.AutoIt.h (DrWEB: Win32.HLLW.Autoruner.1702) e:\\autorun.inf - Worm.Win32.AutoRun.coi (DrWEB: Win32.HLLW.Autoruner.1390) e:\\autorun.inf - Virus.Win32.AutoIt.h (DrWEB: Win32.HLLW.Autoruner.1702) e:\\d6fagcs8.cmd - Packed.Win32.PolyCrypt.h (DrWEB: Trojan.MulDrop.6474) e:\\system_cache\\locale.exe - Virus.Win32.AutoIt.h (DrWEB: Win32.HLLW.Autoruner.1702)