Подключение к сети Интернет постоянно прерывается, провайдер говорит что у меня вирус в разделе "Подключения" - новое соединение z-connect.
Подключение к сети Интернет постоянно прерывается, провайдер говорит что у меня вирус в разделе "Подключения" - новое соединение z-connect.
Отключите восстановление системы!
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DelBHO('{00A6FAF1-072E-44cf-8957-5838F569A31D}'); DelBHO('{07B18EA1-A523-4961-B6BB-170DE4475CCA}'); DelBHO('{9D64F819-9380-8473-DAB2-702FCB3D7A3E}'); DelBHO('{07B18EA9-A523-4961-B6BB-170DE4475CCA}'); DelBHO('{00A6FAF6-072E-44cf-8957-5838F569A31D}'); QuarantineFile('C:\Documents and Settings\iVan\Application Data\bpfeed.dll',''); QuarantineFile('C:\WINDOWS\system32\jwkmxob.dll',''); QuarantineFile('C:\WINDOWS\system\dllcache.exe',''); QuarantineFile('C:\WINDOWS\system32\regedit.exe',''); QuarantineFile('C:\WINDOWS\system32\amvo.exe',''); QuarantineFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\MWSBAR.DLL',''); QuarantineFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe',''); DeleteService('ysuttwctr'); DeleteService('yssswnwj'); DeleteService('yollcbr'); DeleteService('yanqqol'); DeleteService('xtjrkulru'); DeleteService('xqsqs'); DeleteService('xndbp'); DeleteService('xmsscyiec'); DeleteService('xisdjc'); DeleteService('wqnvxzs'); DeleteService('wpswpsf'); DeleteService('wppjevh'); DeleteService('wphju'); DeleteService('woxquhqsw'); DeleteService('wmwqs'); DeleteService('wjcmlfwyc'); DeleteService('vqzcs'); DeleteService('vqrhedlih'); DeleteService('vjxnvh'); DeleteService('usrvj'); DeleteService('umfcjsqu'); DeleteService('ugnyql'); DeleteService('triysn'); DeleteService('tfcffdpa'); DeleteService('tesjo'); DeleteService('szsjtq'); DeleteService('spkrosdpl'); DeleteService('rmasa'); DeleteService('rjczhi'); DeleteService('qphvs'); DeleteService('qepastee'); DeleteService('pzybq'); DeleteService('pvrkkt'); DeleteService('pnpgzs'); DeleteService('pbybhmyrp'); DeleteService('ozktsrbu'); DeleteService('ovijie'); DeleteService('oruwm'); DeleteService('ornwokua'); DeleteService('oitlhg'); DeleteService('nimazjypx'); DeleteService('nhjxlnwc'); DeleteService('mxhvl'); DeleteService('lmnptgzs'); DeleteService('mecau'); DeleteService('mqhccp'); DeleteService('kxmcpjidy'); DeleteService('kyknan'); DeleteService('kshevamkp'); DeleteService('kqpge'); DeleteService('klfppzjuz'); DeleteService('khcouo'); DeleteService('kdomp'); DeleteService('kdndtufq'); DeleteService('juxgeftgd'); DeleteService('jqpyozi'); DeleteService('jmlha'); DeleteService('jjgfm'); DeleteService('jbrqok'); DeleteService('isfvxpul'); DeleteService('inmcilpqr'); DeleteService('ikusyrk'); DeleteService('gzpsa'); DeleteService('gygsbeuwo'); DeleteService('gsrhjoz'); DeleteService('gcrgn'); DeleteService('fjgzra'); DeleteService('fgqwwas'); DeleteService('ezaog'); DeleteService('eixkpyf'); DeleteService('ehytcbnja'); DeleteService('dxoredlxm'); DeleteService('dsadzeol'); DeleteService('davtdwsyl'); DeleteService('dhfwmz'); DeleteService('cubdwufx'); DeleteService('csobmnor'); DeleteService('cqvnpjzv'); DeleteService('bcbabeyd'); DeleteService('auyyrzxd'); DeleteService('bfotxmf'); DeleteService('biccr'); DeleteService('bjfdw'); DeleteService('bmusz'); DeleteService('bqikpriks'); DeleteService('brtqoua'); DeleteService('brwabokr'); DeleteService('bypkew'); DeleteService('cbclzksgy'); DeleteService('ajwtbt'); DeleteService('aiijm'); DeleteService('ahlax'); DeleteService('ahfpfsbv'); QuarantineFile('C:\WINDOWS\system32\02.tmp',''); QuarantineFile('C:\WINDOWS\system32\01.tmp',''); DeleteService('aerooremv'); DeleteService('WinSpooler32'); QuarantineFile('C:\WINDOWS\system\smsc32.exe',''); QuarantineFile('C:\WINDOWS\system\mysmas.exe',''); DeleteService('MYS Mutex Algorithm Service'); QuarantineFile('C:\WINDOWS\system32\ICDSPTSV.EXE',''); QuarantineFile('C:\WINDOWS\system32\fci.exe.exe:ext.exe',''); DeleteService('FCI'); QuarantineFile('C:\WINDOWS\system\svhost.exe',''); DeleteService('WindowsTelephony'); DeleteFile('C:\WINDOWS\system\svhost.exe'); DeleteFile('C:\WINDOWS\system32\fci.exe.exe:ext.exe'); DeleteFile('C:\WINDOWS\system\mysmas.exe'); DeleteFile('C:\WINDOWS\system\smsc32.exe'); DeleteFile('C:\WINDOWS\system32\01.tmp'); DeleteFile('C:\WINDOWS\system32\02.tmp'); DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe'); DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\MWSBAR.DLL'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','My Web Search Bar'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MyWebSearch Email Plugin'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MyWebSearch Email Plugin'); DeleteFile('C:\WINDOWS\system32\amvo.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','amva'); DeleteFile('C:\WINDOWS\system32\regedit.exe'); DeleteFile('C:\WINDOWS\system32\jwkmxob.dll'); DeleteFile('C:\Documents and Settings\iVan\Application Data\bpfeed.dll'); DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\82H3KDBD\hom[1].exe'); DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\Q1OT49WX\hom[1].exe'); DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\Q1OT49WX\hom[2].exe'); DeleteFile('C:\Documents and Settings\iVan\Local Settings\Temporary Internet Files\Content.IE5\9O8F550T\hom[1].exe'); DeleteFile('C:\Documents and Settings\iVan\Local Settings\Temporary Internet Files\Content.IE5\NZP7710W\loader[1].exe'); DeleteFile('C:\Documents and Settings\Гость\Local Settings\Temp\BNCF.tmp'); DeleteFile('C:\Documents and Settings\Гость\Local Settings\Temp\BND0.tmp'); DeleteFileMask('C:\Documents and Settings\Гость\Local Settings\Temp\', '*.*', true); DeleteFileMask('C:\Documents and Settings\iVan\Local Settings\Temporary Internet Files\Content.IE5\NZP7710W\', '*.*', true); DeleteFileMask('C:\Documents and Settings\iVan\Local Settings\Temporary Internet Files\Content.IE5\9O8F550T\', '*.*', true); DeleteFileMask('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\Q1OT49WX\', '*.*', true); DeleteFileMask('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\82H3KDBD\', '*.*', true); DeleteFileMask('%Tmp%', '*.*', true); BC_ImportAll; ExecuteSysClean; ExecuteRepair(8); ExecuteRepair(16); BC_Activate; RebootWindows(true); end.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы).
Сделайте лог GMER по правилам - http://virusinfo.info/showthread.php?t=40118
Подготовьте новые логи AVZ + HjT.
я закачал карантин файлы с помощью ссылки "Прислать запрошенные файлы"
и вот gmer.log
новые логи
Сохраните текст ниже как cleanup.bat в ту же папку, где находится 8gczj5pb.exe (gmer)
И запустите cleanup.batКод:8gczj5pb.exe -del service blnrg 8gczj5pb.exe -del service lccpkk 8gczj5pb.exe -del service ntyds 8gczj5pb.exe -del file "C:\WINDOWS\system32\ixyjc.dll" 8gczj5pb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\blnrg" 8gczj5pb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\lccpkk" 8gczj5pb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ntyds" 8gczj5pb.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\blnrg" 8gczj5pb.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\lccpkk" 8gczj5pb.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\ntyds" 8gczj5pb.exe -reboot
Компьютер перезагрузится
Сделать новый лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
ГОВОРЯТ " DeleteService: параметр задан неверно "
" DeleteKey: параметр задан неверно "
подскажите как сохранить в блокноте, или в программе GMER??
я создал файл в блокноте!
Как выполнить команды в GMER
После этого сделайте новый лог.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
я следуя указаниям сохранил текст,как написано " «>>>» для отображения дополнительных функций программы. Выбрать вкладку CMD. В верхнее окно скопируйте команды для удаления руткита, которые указал Вам специалист и нажмите Run "
и программа всё равно пишет " DeleteService: параметр задан неверно "
" DeleteKey: параметр задан неверно "
может я чтото не верно делаю??
также как и через блокнот
оке,щас будет
gmer лог
Выполните в AVZ:
ПК перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteService('blnrg'); DeleteService('lccpkk'); DeleteService('ntyds'); DeleteFile('C:\WINDOWS\system32\ixyjc.dll'); RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\blnrg'); RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\ntyds'); RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\lccpkk'); RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet003\Services\blnrg'); RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet003\Services\ntyds'); RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet003\Services\lccpkk'); BC_ImportDeletedList; ExecuteSysclean; BC_Activate; RebootWindows(true); end.
Подготовьте новый лог гмер.
новый лог
На Scan явно не нажимали. Переделать
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
новый лог
Скачайте mbr
После запуска в папке с программой найдете mbr.log Его и выложите
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
mbr.log
Порядок
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Спасибо!
Уважаемый(ая) ninja-spb, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.