Junior Member
Вес репутации
55
Помогите с вирусом.
В системе явно сидит вирус.
Первоначально не получилось установить Kaspersky Antivirus 2010
В свойствах экрана доступно только изменение темы.
В диспечере задач есть подозрительные процессы (например 16.tmp)
Пару раз не известно после чего блокировался запуск exe, com и т.п. файлов.
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Пофиксить в HiJack
Код:
O20 - Winlogon Notify: exodpt - exodpt.dll (file missing)
O20 - Winlogon Notify: mmqvrn - mmqvrn32.dll (file missing)
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\exodpt.dll','');
DeleteFile('C:\WINDOWS\System32\exodpt.dll');
QuarantineFile('C:\WINDOWS\System32\mmqvrn32.dll','');
DeleteFile('C:\WINDOWS\System32\mmqvrn32.dll');
QuarantineFile('c:\ex.cab','');
DeleteFile('c:\ex.cab');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{64311111-1111-1121-1111-111191113457}');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-622221193458}');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-611111193458}');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-611111193457}');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{24311111-1111-1121-1111-111191113457}');
QuarantineFile('c:\eied_s7.cab','');
DeleteFile('c:\eied_s7.cab');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
DeleteService('tcpsr');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati1alxx.sys','');
DeleteService('ati1alxx');
DeleteService('NetDDEdsdmICF');
DeleteService('ICF');
QuarantineFile('C:\WINDOWS\System32\msxml3ry.exe','');
QuarantineFile('C:\WINDOWS\System32\icf.exe.exe:ext.exe','');
TerminateProcessByName('c:\windows\system32\16.tmp');
QuarantineFile('c:\windows\system32\16.tmp','');
DeleteFile('c:\windows\system32\16.tmp');
DeleteFile('C:\WINDOWS\System32\icf.exe.exe:ext.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\ati1alxx.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('ICF');
BC_Activate;
ExecuteRepair(6);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Компьютер перезагрузится
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
55
Карантин отправил.
Новые логи:
Junior Member
Вес репутации
55
Попытался сменить разрешение экрана, после этого вылезла ошибка
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('NetDDEdsdmICF');
DeleteService('AlerterALG');
DeleteFile('C:\WINDOWS\System32\16.tmp');
DeleteFile('C:\WINDOWS\System32\msxml3ry.exe');
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
55
Вложения
Junior Member
Вес репутации
55
Проблема остается в силе. Очень нужна помощь.
Выполните скрипт в AVZ:
Код:
begin
BC_DeleteFile('C:\WINDOWS\System32\16.tmp run');
BC_DeleteSvc('AlerterALG');
BC_Activate;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Компьютер перезагрузится.
Повторите п.2 Диагностики.
I am not young enough to know everything...
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 20 В ходе лечения обнаружены вредоносные программы:
c:\windows\system32\drivers\tcpsr.sys - Rootkit.Win32.Small.amp ( DrWEB: Trojan.PWS.GoldSpy.2812, BitDefender: Trojan.Spy.Goldun.NCN ) c:\windows\system32\16.tmp - Trojan.Win32.Scar.aama ( DrWEB: Trojan.Proxy.5827, BitDefender: Trojan.Generic.2185070 )