Удалил аваст, после этого комп, вроде как ожил
Удалил аваст, после этого комп, вроде как ожил
Последний раз редактировалось Александрр; 06.08.2010 в 09:43.
Добрый день.
Отключите восстановление системы!!!
Пофиксите в Hijackthis:
Отключите компьютер от интернета, а также антивирус и/или файрвол.Код:R3 - URLSearchHook: (no name) - - (no file)
Закройте все программы, запустите только AVZ и Internet Explorer.
Выполните скрипт в AVZ:
После выполнения скрипта компьютер перезагрузится!!!Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\atevxx.exe'); TerminateProcessByName('c:\windows\vtdfhgbfv.exe'); TerminateProcessByName('c:\windows\system32\tgsno.exe'); TerminateProcessByName('c:\program files\common files\svc.exe'); TerminateProcessByName('c:\windows\vfhyjh.exe'); TerminateProcessByName('c:\windows\system32\i\k001.exe'); TerminateProcessByName('c:\windows\system32\i\j002.exe'); TerminateProcessByName('c:\windows\system32\sdfjh17kcm\j002.exe'); TerminateProcessByName('c:\windows\system32\0529m7ajvm\j002.exe'); TerminateProcessByName('c:\windows\system32\fz6d9avnhi\j002.exe'); TerminateProcessByName('c:\windows\system32\5mm6qplij4\j001.exe'); TerminateProcessByName('c:\windows\system32\fz6d9avnhi\e001.exe'); TerminateProcessByName('c:\windows\clile.exe'); TerminateProcessByName('c:\windows\clfile.exe'); TerminateProcessByName('c:\windows\clfdfle.exe'); QuarantineFile('C:\WINDOWS\Fonts\44BD1F80.DLL',''); QuarantineFile('C:\WINDOWS\Fonts\E4A4EF00.EXE',''); QuarantineFile('C:\WINDOWS\twain_1g.dll',''); QuarantineFile('C:\WINDOWS\system32\msansspc.dll',''); QuarantineFile('C:\WINDOWS\system32\drivers\tcpz-x86d.sys',''); QuarantineFile('C:\WINDOWS\system32\WinHelp32.exe',''); QuarantineFile('c:\windows\system32\mstcpweb.dll',''); QuarantineFile('c:\windows\vtdfhgbfv.exe',''); QuarantineFile('c:\windows\vfhyjh.exe',''); QuarantineFile('c:\windows\system32\tgsno.exe',''); QuarantineFile('c:\program files\common files\svc.exe',''); QuarantineFile('c:\windows\system32\i\k001.exe',''); QuarantineFile('c:\windows\system32\i\j002.exe',''); QuarantineFile('c:\windows\system32\sdfjh17kcm\j002.exe',''); QuarantineFile('c:\windows\system32\0529m7ajvm\j002.exe',''); QuarantineFile('c:\windows\system32\fz6d9avnhi\j002.exe',''); QuarantineFile('c:\windows\system32\5mm6qplij4\j001.exe',''); QuarantineFile('c:\windows\system32\fz6d9avnhi\e001.exe',''); QuarantineFile('c:\windows\clile.exe',''); QuarantineFile('c:\windows\clfile.exe',''); QuarantineFile('c:\windows\clfdfle.exe',''); QuarantineFile('c:\windows\atevxx.exe',''); QuarantineFile('C:\WINDOWS\system32\RymttoC.dll',''); QuarantineFile('C:\WINDOWS\system32\RrmctxC.dll',''); QuarantineFile('C:\WINDOWS\system32\RomptkC.dll',''); QuarantineFile('C:\WINDOWS\system32\RemvtgC.dll',''); DeleteService('WinHelp32'); DeleteService('WcsSrv'); SetServiceStart('WcsSrv', 4); DeleteService('vrgv'); SetServiceStart('vrgv', 4); DeleteService('tgsno'); SetServiceStart('tgsno', 4); DeleteService('tdgfv'); SetServiceStart('tdgfv', 4); DeleteService('server this'); SetServiceStart('server this', 4); DeleteService('rgt'); SetServiceStart('rgt', 4); DeleteService('rfrr'); SetServiceStart('rfrr', 4); DeleteService('rf'); SetServiceStart('rf', 4); DeleteService('gjunj'); SetServiceStart('gjunj', 4); DeleteService('fffff'); SetServiceStart('fffff', 4); DeleteService('fdos'); SetServiceStart('fdos', 4); DeleteService('evxx'); SetServiceStart('evxx', 4); DeleteService('clos'); SetServiceStart('clos', 4); DeleteService('clfdsfos'); SetServiceStart('clfdsfos', 4); DeleteService('cfv'); SetServiceStart('cfv', 4); DeleteService('Ativxx'); SetServiceStart('Ativxx', 4); DelBHO('95289393-33EA-4F8D-B952-483415B9C955'); DeleteFile('c:\windows\atevxx.exe'); DeleteFile('c:\windows\clfdfle.exe'); DeleteFile('c:\windows\clfile.exe'); DeleteFile('c:\windows\clile.exe'); DeleteFile('c:\windows\system32\fz6d9avnhi\e001.exe'); DeleteFile('c:\windows\system32\5mm6qplij4\j001.exe'); DeleteFile('c:\windows\system32\fz6d9avnhi\j002.exe'); DeleteFile('c:\windows\system32\0529m7ajvm\j002.exe'); DeleteFile('c:\windows\system32\sdfjh17kcm\j002.exe'); DeleteFile('c:\windows\system32\i\j002.exe'); DeleteFile('c:\windows\system32\i\k001.exe'); DeleteFile('c:\program files\common files\svc.exe'); DeleteFile('c:\windows\system32\tgsno.exe'); DeleteFile('c:\windows\vfhyjh.exe'); DeleteFile('c:\windows\vtdfhgbfv.exe'); DeleteFile('C:\WINDOWS\system32\msansspc.dll'); DeleteFile('C:\Documents and Settings\user\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll'); DeleteFile('C:\WINDOWS\system32\WinHelp32.exe'); DeleteFile('C:\WINDOWS\Atvxx.exe'); DeleteFile('C:\WINDOWS\system32\i\K001.exe'); DeleteFile('C:\WINDOWS\clfdfle.exe'); DeleteFile('C:\WINDOWS\clile.exe'); DeleteFile('C:\WINDOWS\Atevxx.exe'); DeleteFile('C:\WINDOWS\clfile.exe'); DeleteFile('C:\WINDOWS\system32\i\J002.exe'); DeleteFile('C:\WINDOWS\vfhyjh.exe'); DeleteFile('C:\WINDOWS\system32\0529M7AJVM\J002.exe'); DeleteFile('C:\WINDOWS\system32\5MM6QPLIJ4\J001.exe'); DeleteFile('C:\WINDOWS\system32\FZ6D9AVNHI\J002.exe'); DeleteFile('C:\WINDOWS\system32\FZ6D9AVNHI\E001.exe'); DeleteFile('C:\WINDOWS\vtdfhgbfv.exe'); DeleteFile('C:\WINDOWS\system32\tgsno.exe'); DeleteFile('C:\WINDOWS\system32\SDFJH17KCM\J002.exe'); DeleteFile('C:\Program Files\Common Files\Svc.exe'); DeleteFile('msansspc.dll'); DeleteFile('C:\WINDOWS\Fonts\E4A4EF00.EXE'); DeleteFile('C:\WINDOWS\Fonts\44BD1F80.DLL'); DeleteFile('c:\windows\atvxx.exe'); DeleteFile('WcsSrv.sys'); DeleteFile('gjunj.sys'); DeleteFile('Ativxx.sys'); DeleteFile('C:\System Volume Information\_restore{338F2A33-B918-496A-8C5B-3A3A91E1AA87}\RP265\A0097852.dll'); DeleteFile('C:\WINDOWS\system32\RemvtgC.dll'); DeleteFile('C:\WINDOWS\system32\RomptkC.dll'); DeleteFile('C:\WINDOWS\system32\RrmctxC.dll'); DeleteFile('C:\WINDOWS\system32\RymttoC.dll'); BC_ImportALL ExecuteSysClean; BC_DeleteSvc('WinHelp32'); BC_DeleteSvc('WcsSrv'); BC_DeleteSvc('vrgv'); BC_DeleteSvc('tgsno'); BC_DeleteSvc('tdgfv'); BC_DeleteSvc('server this'); BC_DeleteSvc('rgt'); BC_DeleteSvc('rfrr'); BC_DeleteSvc('rf'); BC_DeleteSvc('gjunj'); BC_DeleteSvc('fffff'); BC_DeleteSvc('fdos'); BC_DeleteSvc('evxx'); BC_DeleteSvc('clos'); BC_DeleteSvc('clfdsfos'); BC_DeleteSvc('cfv'); BC_DeleteSvc('Ativxx'); BC_Activate; RebootWindows(true); end.
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Очистите временные папки интернета.
Сделайте новые логи по правилам.
- это Ваши ip-шники?Код:O17 - HKLM\System\CCS\Services\Tcpip\..\{3152A593-5DA7-4E65-8C26-5E53237A2A51}: NameServer = 95.107.47.4,192.168.1.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{3152A593-5DA7-4E65-8C26-5E53237A2A51}: NameServer = 95.107.47.4,192.168.1.1 O17 - HKLM\System\CS2\Services\Tcpip\..\{3152A593-5DA7-4E65-8C26-5E53237A2A51}: NameServer = 95.107.47.4,192.168.1.1
Ай-пи, мои, комп выходит в инет через шлюз
Восстановление системы выключить не могу, его нет в свойствах, винда, повидимому кривая
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
вот логи
Последний раз редактировалось Александрр; 06.08.2010 в 09:43.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите
- Выполните скриптКод:O18 - Filter hijack: text/html - {53B95212-7D77-11D2-9F80-00104B107C97} - C:\WINDOWS\twain_1g.dll
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\tdhy.exe'); TerminateProcessByName('c:\windows\system32\qgmnfmg7un\j002.exe'); TerminateProcessByName('c:\windows\system32\qgmnfmg7un\j001.exe'); TerminateProcessByName('c:\windows\gsrdgt.exe'); StopService('WinHelp32'); StopService('vtdgt'); StopService('tgth'); StopService('tdfgrsh'); StopService('meng5555'); QuarantineFile('c:\windows\tdhy.exe',''); QuarantineFile('C:\WINDOWS\system32\WinHelp32.exe',''); QuarantineFile('c:\windows\system32\qgmnfmg7un\j002.exe',''); QuarantineFile('c:\windows\system32\qgmnfmg7un\j001.exe',''); QuarantineFile('C:\WINDOWS\System32\mswebsrv.dll',''); QuarantineFile('c:\windows\system32\mstcpweb.dll',''); QuarantineFile('c:\windows\system32\kcjixnlkwxpsbgh.dll',''); QuarantineFile('c:\windows\gsrdgt.exe',''); QuarantineFile('C:\System Volume Information\_restore{338F2A33-B918-496A-8C5B-3A3A91E1AA87}\RP272\A0115214.dll',''); QuarantineFile('C:\System Volume Information\_restore{338F2A33-B918-496A-8C5B-3A3A91E1AA87}\RP272\A0115213.dll',''); QuarantineFile('C:\System Volume Information\_restore{338F2A33-B918-496A-8C5B-3A3A91E1AA87}\RP272\A0115212.dll',''); QuarantineFile('C:\System Volume Information\_restore{338F2A33-B918-496A-8C5B-3A3A91E1AA87}\RP272\A0115211.dll',''); DeleteFile('c:\windows\tdhy.exe'); DeleteFile('C:\WINDOWS\system32\WinHelp32.exe'); DeleteFile('c:\windows\system32\qgmnfmg7un\j002.exe'); DeleteFile('c:\windows\system32\qgmnfmg7un\j001.exe'); DeleteFile('C:\WINDOWS\System32\mswebsrv.dll'); DeleteFile('c:\windows\system32\mstcpweb.dll'); DeleteFile('c:\windows\system32\kcjixnlkwxpsbgh.dll'); DeleteFile('c:\windows\gsrdgt.exe'); DeleteFile('C:\System Volume Information\_restore{338F2A33-B918-496A-8C5B-3A3A91E1AA87}\RP272\A0115214.dll'); DeleteFile('C:\System Volume Information\_restore{338F2A33-B918-496A-8C5B-3A3A91E1AA87}\RP272\A0115213.dll'); DeleteFile('C:\System Volume Information\_restore{338F2A33-B918-496A-8C5B-3A3A91E1AA87}\RP272\A0115212.dll'); DeleteFile('C:\System Volume Information\_restore{338F2A33-B918-496A-8C5B-3A3A91E1AA87}\RP272\A0115211.dll'); DeleteFileMask('c:\windows\system32\qgmnfmg7un','*.*',true); DeleteDirectory('c:\windows\system32\qgmnfmg7un'); DeleteService('WinHelp32'); DeleteService('vtdgt'); DeleteService('tgth'); DeleteService('tdfgrsh'); DeleteService('meng5555'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('WinHelp32'); BC_DeleteSvc('vtdgt'); BC_DeleteSvc('tgth'); BC_DeleteSvc('tdfgrsh'); BC_DeleteSvc('meng5555'); BC_Activate; SetAVZPMStatus(True); RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте лог GMER
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
вот
Последний раз редактировалось Александрр; 06.08.2010 в 09:43.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\ati2evxp.exe'); QuarantineFile('C:\WINDOWS\Ati2evxp.exe',''); QuarantineFile('C:\WINDOWS\twain_1g.dll',''); QuarantineFile('c:\windows\system32\oniney.dll',''); DeleteFile('c:\windows\system32\oniney.dll'); DeleteFile('C:\WINDOWS\twain_1g.dll'); DeleteFile('C:\WINDOWS\Ati2evxp.exe') DelCLSID('{53B95212-7D77-11D2-9F80-00104B107C97}'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
вот
Последний раз редактировалось Александрр; 06.08.2010 в 09:43.
Отключите
- Системное восстановление.
-Пофиксите
- Выполните скриптКод:O18 - Filter hijack: text/html - {53B95212-7D77-11D2-9F80-00104B107C97} - (no file)
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; StopService('ASPX'); QuarantineFile('C:\System Volume Information\_restore{338F2A33-B918-496A-8C5B-3A3A91E1AA87}\RP272\A0115315.dll',''); QuarantineFile('C:\WINDOWS\system32\aspx.exe',''); DeleteFile('C:\WINDOWS\system32\aspx.exe'); DeleteFile('C:\System Volume Information\_restore{338F2A33-B918-496A-8C5B-3A3A91E1AA87}\RP272\A0115315.dll'); DeleteService('ASPX'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('ASPX'); BC_Activate; SetAVZPMStatus(True); RebootWindows(true); end.
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
я не могу выключть восстановление системы, я писал, винда кривая, нет вкладки "восстановление системы"
Удалите папки System Volume information на всех дисках : http://support.microsoft.com/?scid=k...9531&x=15&y=12.
Потом логи.
вроде справился. с компом все хорошо. Всем спасибо
нет логов..комп уже унесли..
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 25
- В ходе лечения обнаружены вредоносные программы:
- c:\system volume information\_restore{338f2a33-b918-496a-8c5b-3a3a91e1aa87}\rp265\a0097852.dll - Backdoor.Win32.PcClient.beii ( DrWEB: BackDoor.Siggen.138, BitDefender: Gen:Trojan.Heur.eC8@u4NrUWlb, AVAST4: Win32:Trojan-gen {Other} )
- c:\system volume information\_restore{338f2a33-b918-496a-8c5b-3a3a91e1aa87}\rp272\a0115192.exe - Backdoor.Win32.Agent.ajcb ( DrWEB: BackDoor.RemoteABC.9, AVAST4: Win32:Trojan-gen {Other} )
- c:\system volume information\_restore{338f2a33-b918-496a-8c5b-3a3a91e1aa87}\rp272\a0115193.exe - Backdoor.Win32.Agent.ajcb ( DrWEB: BackDoor.RemoteABC.9, AVAST4: Win32:Trojan-gen {Other} )
- c:\windows\atevxx.exe - Trojan-Downloader.Win32.Agent.ckyp ( DrWEB: Trojan.DownLoad.42419, AVAST4: Win32:Trojan-gen {Other} )
- c:\windows\clfdfle.exe - Trojan-Downloader.Win32.Small.kbo ( DrWEB: Trojan.DownLoad.42481, BitDefender: Trojan.Downloader.JMFI, AVAST4: Win32:Trojan-gen {Other} )
- c:\windows\clfile.exe - Trojan-Downloader.Win32.Small.kbo ( DrWEB: Trojan.DownLoad.42481, BitDefender: Trojan.Downloader.JMFI, AVAST4: Win32:Trojan-gen {Other} )
- c:\windows\clile.exe - Trojan-Downloader.Win32.Small.kbo ( DrWEB: Trojan.DownLoad.42481, BitDefender: Trojan.Downloader.JMFI, AVAST4: Win32:Trojan-gen {Other} )
- c:\windows\fonts\e4a4ef00.exe - Trojan-Dropper.Win32.Agent.azht ( DrWEB: Trojan.Siggen.3272, BitDefender: Win32.Worm.Winko.I, AVAST4: Win32:Agent-AGMY [Trj] )
- c:\windows\fonts\44bd1f80.dll - Trojan-Dropper.Win32.Agent.aywc ( BitDefender: Win32.Worm.Winko.I, AVAST4: Win32:Trojan-gen {Other} )
- c:\windows\system32\fz6d9avnhi\e001.exe - Backdoor.Win32.Small.iey ( DrWEB: BackDoor.Spy.37, BitDefender: Trojan.Rincux.AW, AVAST4: Win32:PcClient-ZE [Trj] )
- c:\windows\system32\fz6d9avnhi\j002.exe - Backdoor.Win32.Agent.ajqs ( DrWEB: BackDoor.Fanchi, BitDefender: Trojan.Rincux.AW, AVAST4: Win32:Rincux-C [Trj] )
- c:\windows\system32\i\j002.exe - Trojan-Downloader.Win32.Agent.ckyf ( DrWEB: BackDoor.Fanchi, BitDefender: Trojan.Rincux.AW, AVAST4: Win32:Rincux-C [Trj] )
- c:\windows\system32\i\k001.exe - Trojan-Downloader.Win32.Agent.ckyf ( DrWEB: BackDoor.Fanchi, BitDefender: Trojan.Rincux.AW, AVAST4: Win32:Rincux-C [Trj] )
- c:\windows\system32\mstcpweb.dll - Trojan.Win32.Agent.ctfa ( DrWEB: Trojan.Packed.650, BitDefender: Trojan.Packed.Libix.Gen.1, NOD32: Win32/TrojanDownloader.Agent.NTM trojan, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\remvtgc.dll - Backdoor.Win32.PcClient.beii ( DrWEB: BackDoor.Siggen.138, BitDefender: Gen:Trojan.Heur.eC8@u4NrUWlb, AVAST4: Win32:Trojan-gen {Other} )
- c:\windows\system32\romptkc.dll - Backdoor.Win32.PcClient.beii ( DrWEB: BackDoor.Siggen.138, BitDefender: Gen:Trojan.Heur.eC8@u4NrUWlb, AVAST4: Win32:Trojan-gen {Other} )
- c:\windows\system32\rrmctxc.dll - Backdoor.Win32.PcClient.beii ( DrWEB: BackDoor.Siggen.138, BitDefender: Gen:Trojan.Heur.eC8@u4NrUWlb, AVAST4: Win32:Trojan-gen {Other} )
- c:\windows\system32\rymttoc.dll - Backdoor.Win32.PcClient.beii ( DrWEB: BackDoor.Siggen.138, BitDefender: Gen:Trojan.Heur.eC8@u4NrUWlb, AVAST4: Win32:Trojan-gen {Other} )
- c:\windows\system32\sdfjh17kcm\j002.exe - Trojan-Downloader.Win32.Agent.ckyf ( DrWEB: BackDoor.Fanchi, BitDefender: Trojan.Rincux.AW, AVAST4: Win32:Rincux-C [Trj] )
- c:\windows\system32\tgsno.exe - Trojan-Downloader.Win32.Apher.gmf ( DrWEB: Trojan.DownLoad.41529, BitDefender: Trojan.Downloader.Agent.AAQE, NOD32: Win32/Agent.NOV trojan, AVAST4: Win32:Trojan-gen {Other} )
- c:\windows\system32\winhelp32.exe - Backdoor.Win32.Httpbot.xl ( DrWEB: BackDoor.Darkshell.96, AVAST4: Win32:Trojan-gen {Other} )
- c:\windows\system32\0529m7ajvm\j002.exe - Trojan-Downloader.Win32.Agent.ckzd ( DrWEB: BackDoor.Fanchi, BitDefender: Trojan.Rincux.AW, AVAST4: Win32:Trojan-gen {Other} )
- c:\windows\system32\5mm6qplij4\j001.exe - Trojan-Downloader.Win32.Agent.ckzb ( DrWEB: BackDoor.Fanchi, BitDefender: Trojan.Rincux.AW, AVAST4: Win32:Trojan-gen {Other} )
- c:\windows\vtdfhgbfv.exe - Backdoor.Win32.Small.ifw ( DrWEB: Trojan.DownLoad.42480, BitDefender: Gen:Trojan.Heur.PT.aeW@bCo7Y9m, NOD32: Win32/Small.NEI trojan, AVAST4: Win32:Trojan-gen {Other} )
Уважаемый(ая) Александрр, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.