Помогите удалить эту заразу. Она блокирует Касперского и постоянно напоминает, что комп заражен и рекомендует скачать кучу ерунды.
Помогите удалить эту заразу. Она блокирует Касперского и постоянно напоминает, что комп заражен и рекомендует скачать кучу ерунды.
На время выполнения скриптов, отключитесь от сети и отключите антивирусные мониторы ( и Касперского, и Spy Hunter )
Пофиксите с помощью Hijackthis строки:Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:Код:O4 - HKLM\..\Run: [buritos] buritos.exe O20 - AppInit_DLLs: karina.dat O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=29921 , как написано в прил.3 правил, и повторите логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\system32\buritos.exe'); QuarantineFile('C:\WINDOWS\system32\buritos.exe',''); QuarantineFile('C:\WINDOWS\system32\karina.dat',''); QuarantineFile('c:\huadio.tmp',''); QuarantineFile('C:\WINDOWS\system32\dns-sd.exe',''); QuarantineFile('C:\WINDOWS\system32\winivstr.exe',''); QuarantineFile('C:\Documents and Settings\Бах\Local Settings\Temporary Internet Files\Content.IE5\RFFMVFIJ\Install[2].exe',''); StopService('autorun'); StopService('Winuj08'); StopService('Beep'); SetServiceStart('Beep', 4); SetServiceStart('Winuj08', 4); SetServiceStart('autorun', 4); QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Winuj08.sys',''); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); QuarantineFile('c:\windows\system32\buritos.exe',''); DeleteFile('c:\windows\system32\buritos.exe'); BC_DeleteFile('c:\windows\system32\buritos.exe'); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); BC_DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\Winuj08.sys'); BC_DeleteFile('C:\WINDOWS\system32\Drivers\Winuj08.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS'); DeleteFile('c:\huadio.tmp'); BC_DeleteFile('c:\huadio.tmp'); DeleteFile('C:\WINDOWS\system32\karina.dat'); BC_DeleteFile('C:\WINDOWS\system32\karina.dat'); DeleteFile('C:\WINDOWS\system32\buritos.exe'); BC_DeleteFile('C:\WINDOWS\system32\buritos.exe'); DeleteFile('C:\Documents and Settings\Бах\Local Settings\Temporary Internet Files\Content.IE5\RFFMVFIJ\Install[2].exe'); BC_DeleteFile('C:\Documents and Settings\Бах\Local Settings\Temporary Internet Files\Content.IE5\RFFMVFIJ\Install[2].exe'); DeleteFile('C:\WINDOWS\system32\winivstr.exe'); BC_DeleteFile('C:\WINDOWS\system32\winivstr.exe'); DeleteService('autorun'); DeleteService('Beep'); DeleteService('Winuj08'); DeleteService('CryptSvcBrowser'); DeleteService('RemoteAccessShellHWDetection'); DeleteService('RpcLocatorWebClient'); DeleteService('stisvcRasAuto'); DeleteService('wuauservSamSs'); DeleteService('xmlprovShellHWDetection'); BC_DeleteSVC('autorun'); BC_DeleteSVC('Beep'); BC_DeleteSVC('Winuj08'); BC_DeleteSVC('CryptSvcBrowser'); BC_DeleteSVC('RemoteAccessShellHWDetection'); BC_DeleteSVC('RpcLocatorWebClient'); BC_DeleteSVC('stisvcRasAuto'); BC_DeleteSVC('wuauservSamSs'); BC_DeleteSVC('xmlprovShellHWDetection'); Delwinlogonnotifybykeyname('WinCtrl32'); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
спасибо за помощь. но проблема все на месте.
Да уж... Качайте IceSword. Ищите и удаляйте файлы:Перед удалением, по возможности, сохраните их, как написано здесь. Обязательно перезагрузите машину после удаления. После перезагрузки, повторно выполните рекомендации из поста #2 , с одним изменением: логи повторите, начиная с п. 10 правил.Код:C:\WINDOWS\system32\Drivers\Winuj08.sys C:\WINDOWS\system32\WinCtrl32.dll C:\WINDOWS\system32\karina.dat c:\huadio.tmp
к сожалению, он прописался, видимо, надолго.
Это лог по п.12, где еще логи?
Пункт 2 правил выполнен?
Остальные логи почему-то не загрузились. Но уже не надо. Избавилась от заразы. Огромное спасибо за помощь!!!!
Надо. Удалите старые логи через Мой кабинет/Вложения и загрузите новые.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 16
- В ходе лечения обнаружены вредоносные программы:
- c:\\system volume information\\_restore{b57616c7-6327-4bfd-9434-5387af1d94d2}\\rp435\\a0082878.exe - not-a-virus:FraudTool.Win32.XPSecurityCenter.p (DrWEB: Trojan.Fakealert.120
- c:\\system volume information\\_restore{b57616c7-6327-4bfd-9434-5387af1d94d2}\\rp435\\a0082879.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\system volume information\\_restore{b57616c7-6327-4bfd-9434-5387af1d94d2}\\rp435\\a0082906.exe - not-a-virus:FraudTool.Win32.XPSecurityCenter.p (DrWEB: Trojan.Fakealert.120
- c:\\system volume information\\_restore{b57616c7-6327-4bfd-9434-5387af1d94d2}\\rp435\\a0082962.exe - not-a-virus:FraudTool.Win32.XPSecurityCenter.p (DrWEB: Trojan.Fakealert.120
- c:\\system volume information\\_restore{b57616c7-6327-4bfd-9434-5387af1d94d2}\\rp435\\a0083088.exe - not-a-virus:FraudTool.Win32.XPSecurityCenter.p (DrWEB: Trojan.Fakealert.120
- c:\\system volume information\\_restore{b57616c7-6327-4bfd-9434-5387af1d94d2}\\rp435\\a0083089.exe - not-a-virus:FraudTool.Win32.XPSecurityCenter.p (DrWEB: Trojan.Fakealert.120
- c:\\system volume information\\_restore{b57616c7-6327-4bfd-9434-5387af1d94d2}\\rp435\\a0083159.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\system volume information\\_restore{b57616c7-6327-4bfd-9434-5387af1d94d2}\\rp435\\a0083170.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\system volume information\\_restore{b57616c7-6327-4bfd-9434-5387af1d94d2}\\rp435\\a0083193.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\system volume information\\_restore{b57616c7-6327-4bfd-9434-5387af1d94d2}\\rp435\\a0083198.exe - not-a-virus:FraudTool.Win32.XPSecurityCenter.p (DrWEB: Trojan.Fakealert.120
Уважаемый(ая) Natty1, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.