Вирус MalWare Doctor. Не отключается, просит регистрации.
Всё сделала по правилам.
Вирус MalWare Doctor. Не отключается, просит регистрации.
Всё сделала по правилам.
Угу, а это что?
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.Внимание !!! База поcледний раз обновлялась 08.02.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите
- Выполните скриптКод:O2 - BHO: phnlibP - {638e9359-625e-4e8a-aa5b-824654c3239b} - (no file) O2 - BHO: Microsoft copyright - {F30B5E7E-CFBB-44fb-A947-226E5A7A4290} - jhxm32.dll (file missing) O4 - HKCU\..\Run: [InetChk] C:\DOCUME~1\86310\LOCALS~1\Temp\ms1238771204.exe work O4 - HKCU\..\Run: [Malware Doctor] C:\Documents and Settings\LocalService\Application Data\691447002.exe O4 - HKLM\..\Policies\Explorer\Run: [services] C:\WINDOWS\services.exe O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O20 - Winlogon Notify: crypt - C:\WINDOWS\
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\system32\avast!antivirus.exe'); TerminateProcessByName('c:\documents and settings\localservice\application data\691447002.exe'); QuarantineFile('C:\WINDOWS\System32\drivers\651acc35.sys',''); QuarantineFile('C:\WINDOWS\services.exe',''); QuarantineFile('C:\WINDOWS\TEMP\ms1239185291.exe',''); QuarantineFile('C:\Documents and Settings\LocalService\Application Data\691447002.exe',''); QuarantineFile('C:\DOCUME~1\86310\LOCALS~1\Temp\ms1238771204.exe',''); QuarantineFile('c:\windows\system32\avast!antivirus.exe',''); QuarantineFile('c:\documents and settings\localservice\application data\691447002.exe',''); DeleteFile('c:\documents and settings\localservice\application data\691447002.exe'); DeleteFile('c:\windows\system32\avast!antivirus.exe'); DeleteFile('C:\DOCUME~1\86310\LOCALS~1\Temp\ms1238771204.exe'); DeleteFile('C:\Documents and Settings\LocalService\Application Data\691447002.exe'); DeleteFile('C:\WINDOWS\TEMP\ms1239185291.exe'); DeleteFile('C:\WINDOWS\services.exe'); DeleteFile('C:\WINDOWS\System32\drivers\651acc35.sys'); BC_ImportAll; ExecuteSysClean; executerepair(6); executerepair(7); executerepair(8); executerepair(9); executerepair(11); executerepair(16); executerepair(17); BC_Activate; SetAVZPMStatus(True); RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Старалсь сделать всё правильно.
Вирус исчез.
Спасибо большое.
virusinfo_syscure.zip не загружается.
Попозже переделаю.
Последний раз редактировалось Rene-gad; 30.05.2009 в 20:06.
Вам нужно выполнить эту процедуру
Т.к. у Вас ноутбук с программами от производителей - полезно внести их в список известных AVZ
The worst foe lies within the self...
Сделала.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('651acc35'); QuarantineFile('C:\WINDOWS\System32\drivers\651acc35.sys',''); QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\HRJ2LD5X\mlw[1].exe',''); QuarantineFile('C:\Avenger\FieryAds.dll',''); DeleteFile('C:\Avenger\FieryAds.dll'); DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\HRJ2LD5X\mlw[1].exe'); DeleteFile('C:\WINDOWS\System32\drivers\651acc35.sys'); DeleteService('651acc35'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('651acc35'); executerepair(6); executerepair(8); executerepair(9); executerepair(11); executerepair(16); executerepair(17); BC_Activate; RebootWindows(true); end.
- Удалите Bonjour
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Сделала.
Отключите, обновите базы АВЗ, повторите логи.Восстановление системы: включено
В этот раз без переименовки ни авз ни hijack не открывались.
Также перестал работать Nod32.Пишет,что произошли проблемы при обмене данными с ядром.
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\Installer\525780.msi',''); QuarantineFile('c:\windows\system32\svchost.exe',''); QuarantineFile('c:\windows\ehome\mcrdsvc.exe',''); QuarantineFile('C:\WINDOWS\System32\drivers\svchost.exe',''); QuarantineFile('C:\Documents and Settings\LocalService\.exe',''); QuarantineFile('C:\Documents and Settings\86310\Start Menu\Programs\Startup\rncsys32.exe',''); DeleteFile('C:\WINDOWS\system32\acelpdeca.exe'); DeleteService('nicsk32'); StopService('nicsk32'); DeleteService('napagentAdobeActiveFileMonitor4.0'); QuarantineFile('C:\WINDOWS\system32\drivers\regi.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\pe3ak2jc.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys',''); QuarantineFile('C:\WINDOWS\system32\wintab32.dll',''); QuarantineFile('C:\WINDOWS\system32\calc.ifo',''); QuarantineFile('c:\windows\system32\drivers\svchost.exe',''); QuarantineFile('c:\windows\system32\dla\dlactrlw.exe',''); QuarantineFile('c:\documents and settings\86310\86310.exe',''); DeleteFile('c:\documents and settings\86310\86310.exe'); DeleteFile('c:\windows\system32\drivers\svchost.exe'); DeleteFile('C:\WINDOWS\system32\calc.ifo'); DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys'); DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys'); DeleteFile('napagentAdobeActiveFileMonitor4.0'); DeleteFile('C:\Documents and Settings\LocalService\.exe'); DeleteFile('C:\WINDOWS\System32\drivers\svchost.exe'); DeleteFile('C:\WINDOWS\Installer\525780.msi'); ExecuteRepair(9); ExecuteRepair(16); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по красной ссылке вверху этой темы "Прислать запрошенный карантин"
2.Повторить логи
The worst foe lies within the self...
Спасибо.
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 119
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\localservice\application data\691447002.exe - not-a-virus:FraudTool.Win32.MalwareDoctor.an ( DrWEB: Trojan.Fakealert.4335, BitDefender: Application.Generic.121218 )
- c:\documents and settings\localservice\local settings\temporary internet files\content.ie5\hrj2ld5x\mlw[1].exe - not-a-virus:FraudTool.Win32.MalwareDoctor.an ( DrWEB: Trojan.Fakealert.4335, BitDefender: Application.Generic.121218 )
- c:\documents and settings\86310\start menu\programs\startup\rncsys32.exe - Trojan.Win32.Inject.adah ( DrWEB: Trojan.Botnetlog.11, BitDefender: Trojan.Generic.CJ.VS )
- c:\documents and settings\86310\86310.exe - Trojan.Win32.Rabbit.ea ( DrWEB: Trojan.Inject.5812 )
- c:\recycler\s-1-5-21-1345492424-2375159188-351294995-3934\sysdate.exe - P2P-Worm.Win32.Palevo.fqh ( DrWEB: Win32.HLLW.Lime.5, BitDefender: Gen:Trojan.Heur.P40708F9F9F )
- c:\windows\system32\accwizu.exe - Backdoor.Win32.Agent.agrd ( DrWEB: BackDoor.IRC.Bot.114 )
- c:\windows\system32\avast!antivirus.exe - Trojan-Downloader.Win32.Agent.ccup ( DrWEB: Trojan.DownLoad.37569 )
- c:\windows\system32\calc.ifo - Trojan-Downloader.Win32.Small.jvg ( DrWEB: Trojan.DownLoad.38281 )
- c:\windows\system32\drivers\nicsk32.sys - Trojan-Dropper.Win32.Agent.asdd ( DrWEB: Trojan.DownLoad.38180, BitDefender: Trojan.Generic.1947976 )
- c:\windows\system32\drivers\svchost.exe - Trojan-Clicker.Win32.Agent.hrp ( DrWEB: Trojan.Click.25482 )
Уважаемый(ая) Alexandra91, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.