Показано с 1 по 9 из 9.

Помогите с вирусом. (заявка № 56396)

  1. #1
    Junior Member Репутация
    Регистрация
    22.05.2009
    Сообщений
    6
    Вес репутации
    28

    Exclamation Помогите с вирусом.

    В системе явно сидит вирус.
    Первоначально не получилось установить Kaspersky Antivirus 2010
    В свойствах экрана доступно только изменение темы.
    В диспечере задач есть подозрительные процессы (например 16.tmp)
    Пару раз не известно после чего блокировался запуск exe, com и т.п. файлов.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,649
    Вес репутации
    2918
    Пофиксить в HiJack
    Код:
     O20 - Winlogon Notify: exodpt - exodpt.dll (file missing)
    O20 - Winlogon Notify: mmqvrn - mmqvrn32.dll (file missing)
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\System32\exodpt.dll','');
    DeleteFile('C:\WINDOWS\System32\exodpt.dll');
    QuarantineFile('C:\WINDOWS\System32\mmqvrn32.dll','');
    DeleteFile('C:\WINDOWS\System32\mmqvrn32.dll');
    QuarantineFile('c:\ex.cab','');
    DeleteFile('c:\ex.cab');
     RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{64311111-1111-1121-1111-111191113457}');
     RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-622221193458}');
     RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-611111193458}');
     RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-611111193457}');
     RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{24311111-1111-1121-1111-111191113457}');
    QuarantineFile('c:\eied_s7.cab','');
    DeleteFile('c:\eied_s7.cab');
     QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
     DeleteService('tcpsr');
     QuarantineFile('C:\WINDOWS\System32\Drivers\ati1alxx.sys','');
     DeleteService('ati1alxx');
     DeleteService('NetDDEdsdmICF');
     DeleteService('ICF');
     QuarantineFile('C:\WINDOWS\System32\msxml3ry.exe','');
     QuarantineFile('C:\WINDOWS\System32\icf.exe.exe:ext.exe','');
     TerminateProcessByName('c:\windows\system32\16.tmp');
     QuarantineFile('c:\windows\system32\16.tmp','');
     DeleteFile('c:\windows\system32\16.tmp');
     DeleteFile('C:\WINDOWS\System32\icf.exe.exe:ext.exe');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati1alxx.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('tcpsr');
    BC_DeleteSvc('ICF');
    BC_Activate;
    ExecuteRepair(6);
    RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); 
    RebootWindows(true);
    end.
    Компьютер перезагрузится

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  4. #3
    Junior Member Репутация
    Регистрация
    22.05.2009
    Сообщений
    6
    Вес репутации
    28
    Карантин отправил.
    Новые логи:
    Вложения Вложения

  5. #4
    Junior Member Репутация
    Регистрация
    22.05.2009
    Сообщений
    6
    Вес репутации
    28
    Попытался сменить разрешение экрана, после этого вылезла ошибка
    Изображения Изображения
    • Тип файла: jpg 1.JPG (12.9 Кб, 6 просмотров)

  6. #5
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,649
    Вес репутации
    2918
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteService('NetDDEdsdmICF');
     DeleteService('AlerterALG');
     DeleteFile('C:\WINDOWS\System32\16.tmp');
     DeleteFile('C:\WINDOWS\System32\msxml3ry.exe');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Сделайте новые логи
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  7. #6
    Junior Member Репутация
    Регистрация
    22.05.2009
    Сообщений
    6
    Вес репутации
    28
    Логи:
    Вложения Вложения

  8. #7
    Junior Member Репутация
    Регистрация
    22.05.2009
    Сообщений
    6
    Вес репутации
    28
    Проблема остается в силе. Очень нужна помощь.

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Выполните скрипт в AVZ:
    Код:
    begin
    BC_DeleteFile('C:\WINDOWS\System32\16.tmp run');
    BC_DeleteSvc('AlerterALG');
    BC_Activate;
    ExecuteRepair(5);
    ExecuteRepair(6);
    ExecuteRepair(8);
    RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    RebootWindows(true); 
    end.
    Компьютер перезагрузится.
    Повторите п.2 Диагностики.
    I am not young enough to know everything...

  10. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,560
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 20
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\drivers\tcpsr.sys - Rootkit.Win32.Small.amp ( DrWEB: Trojan.PWS.GoldSpy.2812, BitDefender: Trojan.Spy.Goldun.NCN )
      2. c:\windows\system32\16.tmp - Trojan.Win32.Scar.aama ( DrWEB: Trojan.Proxy.5827, BitDefender: Trojan.Generic.2185070 )


  • Уважаемый(ая) sercool, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. помогите с вирусом
      От Ivanushka в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 05.10.2011, 11:13
    2. Помогите с вирусом!
      От keda в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 04.07.2011, 17:13
    3. Помогите с вирусом
      От anshau в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 17.05.2010, 18:15
    4. Помогите с вирусом
      От SergeySS в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 25.12.2009, 22:43
    5. ПОМОГИТЕ С ВИРУСОМ
      От Eclipse в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 24.01.2008, 13:07

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00278 seconds with 22 queries