Всё выполнила как написано в Правилах, высылаю Вам ЛОГ
Помоги пожалуйста :'(
Всё выполнила как написано в Правилах, высылаю Вам ЛОГ
Помоги пожалуйста :'(
все операции выполнять в нормальном режиме (не SafeMode)
выполните скрипт
пришлите карантин согласно приложения 3 правилКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\restorer32_a.exe',''); QuarantineFile('C:\WINDOWS\iexplorer72.exe',''); QuarantineFile('C:\WINDOWS\System32\tssdis.exe',''); QuarantineFile('C:\WINDOWS\cmon.exe',''); QuarantineFile('C:\WINDOWS\CTFM0N.EXE',''); QuarantineFile('C:\RECYCLER\S-1-5-21-1389184007-9776929342-666273835-8549\sysdate.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-1389184007-9776929342-666273835-8549\sysdate.exe'); DeleteFile('C:\WINDOWS\CTFM0N.EXE'); DeleteFile('C:\WINDOWS\cmon.exe'); DeleteFile('C:\WINDOWS\iexplorer72.exe'); DeleteFile('C:\WINDOWS\system32\restorer32_a.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи
Я бы с удовольствием выполнила скрипт в пормальном режиме, но загрузить комп могу только в безопасном режиме.
Если загружать его в нормально режиме - он загружается полностью и через 2 сек на весь рабочий стол синяя полупрозрачная пелена и написано что моё ПО нелицензионное и что нужно отправить СМС на короткий номер.
За день до появления такой беды мне подключили интернет и я обновила антивирус, вечером все было нормально. А на утро по закрытии браузера появилось голубое нечто.
Выполняйте скрипт в безопасном, дальше должно уже заработать и в нормальном.
I am not young enough to know everything...
Компьютер загрузился в нормальнои режиме, спасибо за помощ!!!!
Запрощеннй карантин и новые ЛОГи прикрепляю к сообщению.
Жду дальнейших указаний .
Еще раз спасибо за помощ!!!!!!!!
Последний раз редактировалось V_Bond; 01.10.2009 в 22:16. Причина: карантин в теме
virus.zip уберите из вложений и пришлите по красной ссылке Прислать запрошенный карантин вверху темы
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\regedit.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-9352212498-5049695351-417329666-7446\sysdate.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\eso.exe',''); TerminateProcessByName('c:\documents and settings\Администратор\restorer32_a.exe'); QuarantineFile('c:\documents and settings\Администратор\restorer32_a.exe',''); DeleteFile('c:\documents and settings\Администратор\restorer32_a.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-9352212498-5049695351-417329666-7446\sysdate.exe'); DeleteFile('C:\WINDOWS\system32\regedit.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','restorer32_a'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Обновите базы AVZ
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Простите, не могла с первого раза понять что означает "Прислать запрошенный карантин", не смотря на то что это самые видные слова.
Добавлено через 20 минут
Обновила базы AVZ
Сделала новые логи
Что дальше, господа хакеры?
Последний раз редактировалось kuschak; 02.10.2009 в 00:21. Причина: Добавлено
Ой, виновата!
Логи выкладывайте по отдельности, а не общим архивом - сейчас вот вместо virusinfo syscheck вы virusinfo cure вложили. Выполните скрипт
Карантин закачайте, логи повторитеКод:begin SearchRootkit(true,true); SetAVZGuardStatus(true); QuarantineFile('C:\Documents and Settings\Администратор\bwjmq.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\vpudfqfu.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\sptvihvz.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\ozpymagu.sys',''); DeleteFile('C:\WINDOWS\System32\Drivers\ozpymagu.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\sptvihvz.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\vpudfqfu.sys'); DeleteFile('C:\Documents and Settings\Администратор\bwjmq.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSConfig'); BC_ImportALL; BC_DeleteSvc('vpudfqfu'); BC_DeleteSvc('sptvihvz'); BC_DeleteSvc('ozpymagu'); ExecuteSysClean; BC_LogFile(GetAVZDirectory + 'boot_cleaner.log'); BC_Activate; ExecuteWizard('TSW', 3, 3, true); RebootWindows(true); end.
Выполняю указания
Диск Е - это флешка у вас или локальный диск? Если флешка во время выполнения скрипта она должна быть вставлена. Включите AVZPM - установить драйвер расширенного мониторинга процессов, выполните скрипт
Пофиксите HijackthisКод:begin SearchRootkit(true,true); SetAVZGuardStatus(true); QuarantineFile('E:\folder.tmp/tmp.exe',''); QuarantineFile('E:\autorun.inf',''); QuarantineFile('C:\WINDOWS\System32\Drivers\pfragqeq.sys',''); DeleteFile('C:\WINDOWS\System32\Drivers\pfragqeq.sys'); DeleteFile('E:\autorun.inf'); DeleteFile('E:\folder.tmp/tmp.exe'); BC_ImportALL; BC_DeleteSvc('pfragqeq'); ExecuteSysClean; BC_LogFile(GetAVZDirectory + 'boot_cleaner.log'); BC_Activate; RebootWindows(true); end.
Карантин закачайте, логи повторитеКод:R3 - URLSearchHook: (no name) - - (no file) F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
Обьясните пожалуйста, что означает:
"Пофиксите Hijackthis
Код:
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe"
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 24
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\администратор\bwjmq.exe - Trojan.Win32.Agent.cxte ( DrWEB: Trojan.Siggen.4997, BitDefender: Trojan.Agent.ANQK )
- c:\documents and settings\администратор\eso.exe - Trojan.Win32.Agent.cxte ( DrWEB: Trojan.Siggen.4997, BitDefender: Trojan.Agent.ANQK )
- c:\documents and settings\администратор\restorer32_a.exe - Backdoor.Win32.HareBot.on ( DrWEB: Trojan.DownLoad.41506, BitDefender: Trojan.Generic.2495320 )
- c:\recycler\s-1-5-21-1389184007-9776929342-666273835-8549\sysdate.exe - P2P-Worm.Win32.Palevo.jsf ( DrWEB: Win32.HLLW.Lime.22, BitDefender: Worm.P2P.Palevo.J, NOD32: Win32/Peerfrag.DZ worm, AVAST4: Win32:Palevo-C [Trj] )
- c:\recycler\s-1-5-21-9352212498-5049695351-417329666-7446\sysdate.exe - P2P-Worm.Win32.Palevo.jsf ( DrWEB: Win32.HLLW.Lime.22, BitDefender: Worm.P2P.Palevo.J, NOD32: Win32/Peerfrag.DZ worm, AVAST4: Win32:Palevo-C [Trj] )
- c:\windows\cmon.exe - Trojan-Ransom.Win32.VB.bf ( DrWEB: Trojan.Fakealert.5261, NOD32: Win32/LockScreen.BP trojan )
- c:\windows\iexplorer72.exe - Trojan.Win32.Buzus.cbvq ( DrWEB: BackDoor.IRC.Letmein.13, BitDefender: Trojan.Generic.2536364, NOD32: Win32/AutoRun.IRCBot.CY worm, AVAST4: Win32:Malware-gen )
- c:\windows\system32\restorer32_a.exe - Backdoor.Win32.HareBot.on ( DrWEB: Trojan.DownLoad.41506, BitDefender: Trojan.Generic.2495320 )
Уважаемый(ая) kuschak, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.