комп просил активацию винды через смс.
комп просил активацию винды через смс.
Последний раз редактировалось sergb; 16.06.2009 в 17:24.
Мало опыта, но быстро учусь
Отключите восстановление системы!!!!!Очистите темп-папки.
Пофиксите строчки в HijackthisВыполните скрипт в AVZ:Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe, 04 - Startup: is-J8G8K.lnk = ?После выполнения скрипта компьютер перезагрузиться!!!Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('sysdrv32'); QuarantineFile('exodpt.dll',''); QuarantineFile('C:\WINDOWS\system32\sdra64.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\sysdrv32.sys',''); QuarantineFile('C:\WINDOWS\system32\exodpt.sys',''); QuarantineFile('\\?\globalroot\systemroot\system32\kungsfmnavxewb.dll',''); DeleteFile('\\?\globalroot\systemroot\system32\kungsfmnavxewb.dll'); BC_DeleteFile('\\?\globalroot\systemroot\system32\kungsfmnavxewb.dll'); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); BC_DeleteFile('C:\WINDOWS\system32\sdra64.exe'); DeleteFile('C:\Documents and Settings\1\Local Settings\Temp\17.exe'); BC_DeleteFile('C:\Documents and Settings\1\Local Settings\Temp\17.exe'); DeleteFile('C:\WINDOWS\system32\drivers\sysdrv32.sys'); BC_DeleteFile('C:\WINDOWS\system32\drivers\sysdrv32.sys'); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('sysdrv32'); BC_Activate; RebootWindows(true); end.
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы
Повторите логи по правилам.
вот они логи, карантин тоже загрузил
Последний раз редактировалось sergb; 16.06.2009 в 17:24.
Мало опыта, но быстро учусь
Лог Gmer сделайте. Как - смотрите в "Чаво".
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Карантин получен. Сказано же "Отключить восстановление системы"!!!
Выполните скрипт в AVZ:После выполнения скрипта компьютер перезагрузиться!!!Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); SetServiceStart('exodpt', 4); DeleteService('exodpt'); DeleteFile('C:\WINDOWS\system32\exodpt.sys'); BC_DeleteFile('C:\WINDOWS\system32\exodpt.sys'); DeleteFile('exodpt.dll'); BC_DeleteFile('exodpt.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('exodpt'); BC_Activate; SetAVZPMStatus(true); RebootWindows(true); end.
Также пришлите лог virusinfo_syscure и hijackthis
Последний раз редактировалось DefesT; 16.06.2009 в 15:43.
повторил
Последний раз редактировалось sergb; 26.08.2009 в 14:11.
Мало опыта, но быстро учусь
Выполните скрипт в .АВЗ:
После выполнения скрипта компьютер, как Вы уже поняли, перезагрузиться!!!Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('\systemroot\system32\drivers\aliserv3.sys'); BC_DeleteFile('\systemroot\system32\drivers\aliserv3.sys'); DeleteFile('C:\WINDOWS\system32\drivers\aliserv3.sys'); BC_DeleteFile('C:\WINDOWS\system32\drivers\aliserv3.sys'); DeleteFile('C:\WINDOWS\system32\drivers\kungsfnvxaewxu.sys'); BC_DeleteFile('C:\WINDOWS\system32\drivers\kungsfnvxaewxu.sys'); DeleteFile('C:\WINDOWS\system32\drivers\kungsfayycxtkp.sys'); BC_DeleteFile('C:\WINDOWS\system32\drivers\kungsfayycxtkp.sys'); DeleteFile('C:\WINDOWS\system32\kungsfwfhgfpeb.dll'); BC_DeleteFile('C:\WINDOWS\system32\kungsfwfhgfpeb.dll'); DeleteFile('C:\WINDOWS\system32\kungsfpfqtmdxv.dat'); BC_DeleteFile('C:\WINDOWS\system32\kungsfpfqtmdxv.dat'); DeleteFile('C:\WINDOWS\system32\kungsfsrifwnbp.dll'); BC_DeleteFile('C:\WINDOWS\system32\kungsfsrifwnbp.dll'); DeleteFile('C:\WINDOWS\system32\kungsfmnavxewb.dll'); BC_DeleteFile('C:\WINDOWS\system32\kungsfmnavxewb.dll'); DeleteFile('C:\WINDOWS\system32\kungsfesysxbfv.dat'); BC_DeleteFile('C:\WINDOWS\system32\kungsfesysxbfv.dat'); DeleteFile('C:\WINDOWS\system32\kungsfrieyptjp.dll'); BC_DeleteFile('C:\WINDOWS\system32\kungsfrieyptjp.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; SetAVZPMStatus(true); RebootWindows(true); end.
Сделайте заново лог Gmer(полный скан). Также пришлите лог АВЗvirusinfo_syscure
вот логи , но Сделайте заново лог Gmer(полный скан). не получается ругается. и вырубается
Последний раз редактировалось sergb; 26.08.2009 в 14:11.
Мало опыта, но быстро учусь
\SystemRoot\system32\DRIVERS\12666400.sys - вот этого в Gmer удалите.
После этого лог Гмера попробуйте сделать.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
сейчас дальше прошло, но сругался теперь один раз
Последний раз редактировалось sergb; 26.08.2009 в 14:11.
Мало опыта, но быстро учусь
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
И запустите cleanup.batКод:gmer.exe -del service kungsfqpfvkbsm gmer.exe -del service kungsfqtnkrijl gmer.exe -del file "C:\WINDOWS\system32\drivers\kungsfayycxtkp.sys" gmer.exe -del file "C:\WINDOWS\system32\kungsfwfhgfpeb.dll" gmer.exe -del file "C:\WINDOWS\system32\kungsfpfqtmdxv.dat" gmer.exe -del file "C:\WINDOWS\system32\kungsfreavsbsi.dat" gmer.exe -del file "C:\WINDOWS\system32\kungsfsrifwnbp.dll" gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kungsfqpfvkbsm" gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kungsfqtnkrijl" gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\kungsfqpfvkbsm" gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\kungsfqtnkrijl" gmer.exe -reboot
Сделать новый лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
вроде прошло удачно
Последний раз редактировалось sergb; 26.08.2009 в 14:11.
Мало опыта, но быстро учусь
В логе чисто.
Установите SP3 (может потребоваться активация) + все новые заплатки
Установите Internet Explorer 8
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 15
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\1\local settings\temp\17.exe - Trojan.Win32.Agent.cjir ( DrWEB: Win32.HLLW.Druck.5 )
- c:\windows\system32\sdra64.exe - Trojan-Spy.Win32.Zbot.wpu ( DrWEB: Trojan.PWS.Panda.114, BitDefender: Gen:Trojan.Heur.Dropper.D097686868 )
- \\?\globalroot\systemroot\system32\kungsfmnavxewb. dll - Trojan.Win32.Agent.clui ( DrWEB: BackDoor.Tdss.214, BitDefender: Trojan.Generic.1999470 )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) sergb, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.