Подцепил такую заразу.....
Сумантеком проверял накануне -ниче не нашел. Сегодня выполнил шаги согласно правил и написал Вам. Помогите плиз. Логи во вложении.
Подцепил такую заразу.....
Сумантеком проверял накануне -ниче не нашел. Сегодня выполнил шаги согласно правил и написал Вам. Помогите плиз. Логи во вложении.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите
- Выполните скриптКод:O4 - HKLM\..\Policies\Explorer\Run: []
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('kdqsz.exe',''); DeleteFile('kdqsz.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(9); ExecuteRepair(11); ExecuteRepair(16); ExecuteRepair(17); SetAVZPMStatus(True); RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
вроде все сделал вот логи. Сегодня окно не выскакивало но что в карантине и логах Вам виднее.Кстати после всех операвий с проверкой и включения Сумантека он в автоматической защите нарыл еще какойто гадости в автозагрузке.....
-Пофиксите если сами не прописывали
- Выполните скриптКод:R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.la2elpy.net/
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelCLSID('{E6FB5E20-DE35-11CF-9C87-00AA005127ED}'); QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll',''); DeleteFile('C:\WINDOWS\system32\msvcrt57.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
да чтож такое невезет. После отправки в прошлый раз вам логов и карантина после проверки и перезагрузки обнаружил что в каждой папке лежащих на дисках появилась папка "-= The Porn Collection =-" ,пипец(((
прописывал адрес сам, но весрано пофиксил
сори чтот устал седня, сперва сделал с ошибками проверки, но потом поправился( то эксплорер не запустил, то галки на проверке не поставил в авз) логи тут
Откуда Вы берете весь этот зверинец?
Пофиксить в HiJack
Выполните скрипт в AVZКод:F2 - REG:system.ini: Shell=Explorer.exe riodrv.exe F2 - REG:system.ini: UserInit=userinit.exe,riodrv.exe O4 - HKLM\..\Run: [SysTaskManager] C:\WINDOWS\system32\bmpndrv.exe O4 - HKLM\..\Run: [svhost] C:\WINDOWS\System32\drivers\svchost.exe
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\system32\bmpndrv.exe'); QuarantineFile('c:\windows\system32\bmpndrv.exe',''); QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe',''); TerminateProcessByName('c:\windows\system32\drivers\svchost.exe'); QuarantineFile('c:\windows\system32\drivers\svchost.exe',''); TerminateProcessByName('c:\windows\system32\riodrv.exe'); QuarantineFile('c:\windows\system32\riodrv.exe',''); DeleteFile('c:\windows\system32\riodrv.exe'); DeleteFile('c:\windows\system32\drivers\svchost.exe'); DeleteFile('riodrv.exe'); DeleteFile('C:\Program Files\Microsoft Common\svchost.exe'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); DeleteFile('c:\windows\system32\bmpndrv.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteREpair(16); RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 21
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\xugo\рабочий стол\multi password recovery 1.1.4\multi password recovery 1.1.4 portable\mpr.exe.bak - Trojan-PSW.Win32.LdPinch.aeoz ( BitDefender: Trojan.Generic.1768169 )
- c:\program files\microsoft common\svchost.exe - Trojan.Win32.Agent2.cgbh
- c:\windows\system32\msvcrt57.dll - Trojan-PSW.Win32.WebMoner.gq ( DrWEB: Trojan.DownLoad.5244 )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) Sergo33, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.