Страница 1 из 3 123 Последняя
Показано с 1 по 20 из 53.

Не могу избавиться от Backdoor.IRC.Itan (заявка № 58967)

  1. #1
    Junior Member Репутация
    Регистрация
    01.11.2009
    Сообщений
    27
    Вес репутации
    26

    Exclamation Не могу избавиться от Backdoor.IRC.Itan

    Пользуюсь антивирусом доктор Веб, он находит эту дрянь, удаляет, а при перезагрузке она появляется вновь. Тут же появляется сообщение Generic Host Process for Win32 Services - обнаружена ошибка. Помогите пожалуйста.

  2. Реклама
     

  3. #2

  4. #3
    Junior Member Репутация
    Регистрация
    01.11.2009
    Сообщений
    27
    Вес репутации
    26
    Правила изучила. Перезагрузилась в безопасном режиме, но тут возник вопрос от какого: администратора или пользователя? Я мало понимаю в компьютерах, поэтому заранее извиняюсь за глупый вопрос.

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,461
    Вес репутации
    907
    Пока только в безопасном режиме пользователя!
    Последний раз редактировалось Rene-gad; 03.11.2009 в 20:11. Причина: ответил на вопрос публики :)

  6. #5
    Junior Member Репутация
    Регистрация
    01.11.2009
    Сообщений
    27
    Вес репутации
    26
    Вот логи
    Также у меня появился virusinfo_cure.zip, нужно ли загрузить его?
    Вложения Вложения

  7. #6
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,648
    Вес репутации
    2917
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DelCLSID('{40WcIYQZ-GGZQ-irKu-D8Su-1V7jUbe5yruL}');
     QuarantineFile('c:\Temp\Rar$EX00.922\SUR.exe','');
     DelBHO('{CF272101-7F6E-4CF2-9453-B4C5D2FC32C0}');
     QuarantineFile('C:\PROGRA~1\FieryAds\FieryAds.dll','');
     QuarantineFile('C:\WINDOWS\Sf3TJ.exe','');
     TerminateProcessByName('c:\windows\system32\msdrvinf.exe');
     QuarantineFile('c:\windows\system32\msdrvinf.exe','');
     DeleteFile('c:\windows\system32\msdrvinf.exe');
     DeleteFile('C:\WINDOWS\Sf3TJ.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mx76SJBAbE1Qpw');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','pldELx9gvdHT9M82');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','pldELx9gvdHT9M82');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windows System Info Serivce');
     DeleteFile('C:\PROGRA~1\FieryAds\FieryAds.dll');
     DeleteFile('c:\Temp\Rar$EX00.922\SUR.exe');
    DeleteFileMask('C:\PROGRA~1\FieryAds', '*.*', true);
    DeleteDirectory('C:\PROGRA~1\FieryAds');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи + лог gmer
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  8. #7
    Junior Member Репутация
    Регистрация
    01.11.2009
    Сообщений
    27
    Вес репутации
    26
    Вот новые логи
    Карантин тоже послала. Все ли пришло?
    Вложения Вложения

  9. #8
    Junior Member Репутация
    Регистрация
    01.11.2009
    Сообщений
    27
    Вес репутации
    26
    теперь у меня комп отказывается зайти на Ваш сайт. что делать?

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,461
    Вес репутации
    907
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('c:\Temp\Rar$EX00.922\SUR.exe');
     DeleteFileMask('c:\Temp','*.*',true);
     DeleteDirectory('c:\Temp');
     DelCLSID('SUR');
     BC_ImportDeletedList;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится

    Лог GMER сделан неверно, переделайте http://virusinfo.info/showthread.php?t=40118
    и новые логи AVZ

  11. #10
    Junior Member Репутация
    Регистрация
    01.11.2009
    Сообщений
    27
    Вес репутации
    26
    Я по-прежнему не могу зайти на ваш сайт с зараженного копма. Поэтому логи я прислать не могу. Скрипт сделала. Что мне делать?

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,461
    Вес репутации
    907
    Вы же как-то ответили... Перенесите логи на съемном носителе

  13. #12
    Junior Member Репутация
    Регистрация
    01.11.2009
    Сообщений
    27
    Вес репутации
    26
    Выхожу с телефона, поэтому не могу никуда перенести

  14. #13
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,461
    Вес репутации
    907
    Без логов мы не можем увидеть что творится в Вашей системе. также необходим лог GMER, прикрепленный выше сделан неверно

    Выполните проверку при помощи Virus Removal Tool (ссылка в моей подписи)

  15. #14
    Junior Member Репутация
    Регистрация
    01.11.2009
    Сообщений
    27
    Вес репутации
    26
    Хорошо. Логи появятся в понедельник, когда пойду учиться.
    У меня кстати с зараженного компа не только на ваш сайт зайти не может, но и на касперский, доктор веб.
    Проверяю комп, уже удалила net-worm.win32.kido.ih
    Последний раз редактировалось Rubi; 06.11.2009 в 13:44.

  16. #15
    Junior Member Репутация
    Регистрация
    01.11.2009
    Сообщений
    27
    Вес репутации
    26
    Все сделала. На сайт теперь с зараженного компа заходить могу.
    Вложения Вложения

  17. #16
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,461
    Вес репутации
    907
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     TerminateProcessByName('c:\windows\explorer.exe:userini.exe');
     TerminateProcessByName('c:\windows\system32\userini.exe');
     TerminateProcessByName('c:\windows\mslsrv32.exe');
     TerminateProcessByName('c:\windows\services.exe');
     QuarantineFile('c:\windows\explorer.exe:userini.exe','');
     QuarantineFile('c:\Temp\Rar$EX00.922\SUR.exe','');
     QuarantineFile('C:\WINDOWS\system32\userini.exe','');
     QuarantineFile('C:\WINDOWS\services.exe','');
     QuarantineFile('C:\WINDOWS\mslsrv32.exe','');
     QuarantineFile('C:\WINDOWS\explorer.exe:userini.exe','');
     DeleteFile('C:\WINDOWS\explorer.exe:userini.exe');
     DeleteFile('C:\WINDOWS\mslsrv32.exe');
     DeleteFile('C:\WINDOWS\services.exe');
     DeleteFile('C:\WINDOWS\system32\userini.exe');
     DeleteFile('c:\Temp\Rar$EX00.922\SUR.exe');
     DeleteFile('c:\windows\explorer.exe:userini.exe');
     DeleteFileMask('c:\Temp','*.*',true);
     DeleteDirectory('c:\Temp');
     DelCLSID('SUR');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','services');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
     BC_ImportALL;
     ExecuteSysClean;
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенный карантин" над первым сообщением темы)

    Затем:

    Сохраните текст ниже как cleanup.bat в ту же папку, где находится eqguftmo.exe (gmer)
    Код:
    eqguftmo.exe -del service agqaqgxrz
    eqguftmo.exe -del service fxxuzxaak
    eqguftmo.exe -del service kqwchsnz
    eqguftmo.exe -del service mntsuvwhi
    eqguftmo.exe -del file "C:\WINDOWS\system32\orphojun.dll"
    eqguftmo.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\agqaqgxrz"
    eqguftmo.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\fxxuzxaak"
    eqguftmo.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kqwchsnz"
    eqguftmo.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\mntsuvwhi"
    eqguftmo.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\agqaqgxrz"
    eqguftmo.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\fxxuzxaak"
    eqguftmo.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\kqwchsnz"
    eqguftmo.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\mntsuvwhi"
    eqguftmo.exe -reboot
    И запустите cleanup.bat.
    Компьютер перезагрузится

    Сделайте новый лог gmer и новые логи AVZ

  18. #17
    Junior Member Репутация
    Регистрация
    01.11.2009
    Сообщений
    27
    Вес репутации
    26
    Карантин прислала.
    Когда делала cleanup.bat не удалось найти указанный модуль по C:\WINDOWS\system32\orphojun.dll и Delete key
    Новые логи в процессе

  19. #18
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,461
    Вес репутации
    907
    Когда делала cleanup.bat не удалось найти указанный модуль по C:\WINDOWS\system32\orphojun.dll и Delete key
    Ничего страшного. Выкладывайте логи

    Карантин получен

  20. #19
    Junior Member Репутация
    Регистрация
    01.11.2009
    Сообщений
    27
    Вес репутации
    26
    Вот новые логи
    Вложения Вложения

  21. #20
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,461
    Вес репутации
    907
    Запустите AVZ, выберите меню сервис - менеджер Active Setup
    Удалите оттуда:
    Код:
    c:\Temp\Rar$EX00.922\SUR.exe
    Перезагрузите ПК, сделайте новый лог virusinfo_syscheck.zip

  • Уважаемый(ая) Rubi, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 3 123 Последняя

    Похожие темы

    1. Ответов: 18
      Последнее сообщение: 30.03.2009, 14:39
    2. Ответов: 10
      Последнее сообщение: 22.02.2009, 03:54
    3. Не могу избавиться от BackDoor.Bulknet
      От Egorka в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 02:49
    4. Как избавиться от BackDoor`a
      От GTM в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 22.02.2009, 01:56
    5. Не могу избавиться от BackDoor.Win32.IRCBot.csk
      От Куприянов Сергей в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 18.09.2008, 16:55

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00726 seconds with 21 queries