Куча вирусов
Здравствуйте!
При включении компьютера антивирус находит сразу несколько вирусов каждый раз и файрвол выдает несколько сообщений: "Приложение пытается изменить память другого приложения". Далее все это периодически повторяется довольно часто. Иногда доходит до того, что не могу выйти в интернет. Получается выйти только после нескольких перезагрузок.
Помогите, пожалуйста!!!
Последний раз редактировалось Kural; 15.06.2010 в 23:00.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\RECYCLER\S-1-5-21-5826532769-4837705245-586587286-6039\wmfcgr.exe',''); TerminateProcessByName('c:\windows\mslsrv32.exe'); QuarantineFile('c:\windows\mslsrv32.exe',''); DeleteFile('c:\windows\mslsrv32.exe'); DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\OP_CACHE.ATR'); DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\OP_CACHE.IDX'); DeleteFile('C:\Documents and Settings\Алексей и Евгения.HOMEPC\Application Data\Microsoft\Internet Explorer\Quick Launch\OP_CACHE.ATR'); DeleteFile('C:\Documents and Settings\Алексей и Евгения.HOMEPC\Application Data\Microsoft\Internet Explorer\Quick Launch\OP_CACHE.IDX'); DeleteFile('C:\Documents and Settings\Алексей и Евгения.HOMEPC\Главное меню\Программы\Автозагрузка\OP_CACHE.ATR'); DeleteFile('C:\Documents and Settings\Алексей и Евгения.HOMEPC\Главное меню\Программы\Автозагрузка\OP_CACHE.IDX'); DeleteFile('C:\RECYCLER\S-1-5-21-5826532769-4837705245-586587286-6039\wmfcgr.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Спасибо!!!
Еще есть две проблемы: торрент программа перестала закачивать и отдавать файлы; иногда папки открываются по 15 и более секунд.
Последний раз редактировалось Kural; 15.06.2010 в 23:00.
Выполните скрипт в avz
ПК перезагрузится.Код:begin DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\oyvlhx.dll',''); BC_QrFile('C:\WINDOWS\system32\oyvlhx.dll'); DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859\ls888.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-24SF-N85P'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Запустите q7yo9xjz.exe (Gmer). Нажмите на кнопку «>>>» для отображения дополнительных функций программы. Выбрать вкладку CMD. В верхнее окно скопируйте текст ниже и запустите (Run)
Сделайте новый лог gmer.Код:q7yo9xjz.exe -del service tzacamxz q7yo9xjz.exe -del file "C:\WINDOWS\system32\oyvlhx.dll'' q7yo9xjz.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\tzacamxz'' q7yo9xjz.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\tzacamxz'' q7yo9xjz.exe -reboot
Сделайте новые логи.
Все сделал
Последний раз редактировалось Kural; 15.06.2010 в 23:00.
Извините, забыл прислать карантин.
Прислал.
Только что были найдены вирусы.
Добавлено через 1 час 49 минут
Посмотрите меня, пожалуйста.
Я выполнил все рекомендации.
Вирусы все также появляются, окна медленно открываются, торрент-программа не качает файлы.
Добавлено через 1 час 39 минут
Почему молчите люди добрые?
Последний раз редактировалось Kural; 13.11.2009 в 22:32. Причина: Добавлено
Такой лог сделайте http://virusinfo.info/showpost.php?p=457118&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Какие? Отчет антивируса приложитеСообщение от Kural
Выполните скрипт
Закачайте карантин. Повторите логи АВЗ + такой лог сделайте http://virusinfo.info/showthread.php?t=53070Код:begin SearchRootkit(true,true); SetAVZGuardStatus(true); QuarantineFile('D:\System Volume Information\_restore{CF4F3898-4D10-47C4-A867-3A2B09A7017F}\RP1\A0005474.com',''); QuarantineFile('D:\System Volume Information\_restore{065A429B-09BC-48E3-A46D-AF1DB54491B2}\RP5\A0005567.com',''); DeleteFile('D:\System Volume Information\_restore{065A429B-09BC-48E3-A46D-AF1DB54491B2}\RP5\A0005567.com'); DeleteFile('D:\System Volume Information\_restore{CF4F3898-4D10-47C4-A867-3A2B09A7017F}\RP1\A0005474.com'); BC_ImportALL; ExecuteSysClean; BC_LogFile(GetAVZDirectory + 'boot_cleaner.log'); BC_Activate; RebootWindows(true); end.
The Truth is Out There
При включении компьютера сразу обнаружились штук 10 вирусов:
14.11.2009,11:05:53 ---------------------------------------------------------
14.11.2009,11:06:03 Keyfile contains a valid license. The Avira AntiVir Personal - Free Antivirus will run as a fully functional version!
14.11.2009,11:06:03 AntiVir Guard version: 9.00.01.32,engine version 8.2.1.65,VDF version: 7.1.6.234
14.11.2009,11:06:04 AntiVir Guard was enabled.
14.11.2009,11:06:04 Avira AntiVir Personal - Free Antivirus has been started successfully!
14.11.2009,11:06:04 [CONFIG] On-Access configuration used:
- Files to scan: scan files from local drives
- Files to scan: All files
- Device mode: scan files on open, scan files on close
- Actions: ask the user
- Scan archive: Disabled
- Heuristic: Enabled
- Win32 file heuristic: High detection level
- Logfile report level Default
14.11.2009,11:06:39 [WARNING] Is the TR/Crypt.CFI.Gen Trojan!
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\WBOM7YMD\61[2].exe
[USER] NT AUTHORITY\SYSTEM
[INFO] No right to access the file.
14.11.2009,11:06:39 [WARNING] Is the TR/Crypt.CFI.Gen Trojan!
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\WBOM7YMD\61[1].exe
[USER] NT AUTHORITY\SYSTEM
[INFO] No right to access the file.
14.11.2009,11:06:52 [WARNING] Contains recognition pattern of the WORM/Palevo.kbu worm!
C:\WINDOWS\system32\33.exe
[USER] NT AUTHORITY\SYSTEM
[INFO] No right to access the file.
14.11.2009,11:06:53 [WARNING] Is the TR/Crypt.CFI.Gen Trojan!
C:\WINDOWS\system32\26.exe
[USER] NT AUTHORITY\SYSTEM
[INFO] No right to access the file.
14.11.2009,11:06:54 [WARNING] Is the TR/Crypt.CFI.Gen Trojan!
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\N0PCEL1N\61[1].exe
[USER] NT AUTHORITY\SYSTEM
[INFO] No right to access the file.
14.11.2009,11:06:55 [WARNING] Is the TR/Crypt.CFI.Gen Trojan!
C:\WINDOWS\system32\64.exe
[USER] NT AUTHORITY\SYSTEM
[INFO] No right to access the file.
14.11.2009,11:06:55 [WARNING] Is the TR/Crypt.CFI.Gen Trojan!
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\N0PCEL1N\61[2].exe
[USER] NT AUTHORITY\SYSTEM
[INFO] No right to access the file.
14.11.2009,11:06:55 [WARNING] Is the TR/Crypt.CFI.Gen Trojan!
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\WBOM7YMD\61[1].exe
[USER] NT AUTHORITY\SYSTEM
[INFO] No right to access the file.
14.11.2009,11:06:55 [WARNING] Is the TR/Crypt.CFI.Gen Trojan!
C:\WINDOWS\system32\54.exe
[USER] NT AUTHORITY\SYSTEM
[INFO] No right to access the file.
14.11.2009,11:07:21 [WARNING] Is the TR/Crypt.CFI.Gen Trojan!
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\O5SHSDCR\61[1].exe
[USER] NT AUTHORITY\SYSTEM
[INFO] No right to access the file.
14.11.2009,11:07:19 [WARNING] Is the TR/Crypt.CFI.Gen Trojan!
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\O5SHSDCR\61[1].exe
[USER] NT AUTHORITY\SYSTEM
[INFO] No right to access the file.
14.11.2009,11:07:19 [WARNING] Is the TR/Crypt.CFI.Gen Trojan!
C:\WINDOWS\system32\32.exe
[USER] NT AUTHORITY\SYSTEM
[INFO] No right to access the file.
14.11.2009,11:07:31 [WARNING] Is the TR/Crypt.CFI.Gen Trojan!
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\WBOM7YMD\61[1].exe
[USER] NT AUTHORITY\SYSTEM
[INFO] No right to access the file.
14.11.2009,11:07:31 [WARNING] Is the TR/Crypt.CFI.Gen Trojan!
C:\WINDOWS\system32\82.exe
[USER] NT AUTHORITY\SYSTEM
[INFO] No right to access the file.
14.11.2009,11:07:30 [WARNING] Is the TR/Crypt.CFI.Gen Trojan!
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\O5SHSDCR\61[1].exe
[USER] NT AUTHORITY\SYSTEM
[INFO] No right to access the file.
14.11.2009,11:07:43 [WARNING] Is the TR/Crypt.CFI.Gen Trojan!
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\WBOM7YMD\61[1].exe
[USER] NT AUTHORITY\SYSTEM
[INFO] No right to access the file.
14.11.2009,11:07:43 [WARNING] Is the TR/Crypt.CFI.Gen Trojan!
C:\WINDOWS\system32\66.exe
[USER] NT AUTHORITY\SYSTEM
[INFO] No right to access the file.
Во время проверки программами avz и Malwarebytes' Anti-Malware антивирус находил много вирусов.
Карантин выслал.
Логи сделал.
Последний раз редактировалось Kural; 15.06.2010 в 23:00.
Удалите в mbam
Выполните скрипт в avzКод:C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\N0PCEL1N\tanke[1].exe (Trojan.Downloader) -> No action taken. C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\N0PCEL1N\tanke[2].exe (Trojan.Downloader) -> No action taken. C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\O5SHSDCR\tanke[1].exe (Trojan.Downloader) -> No action taken. C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\QRCJ8A40\tanke[1].exe (Trojan.Downloader) -> No action taken. C:\Documents and Settings\Алексей И Евгения\Application Data\Desktopicon\eBayShortcuts.exe (Adware.ADON) -> No action taken. C:\Documents and Settings\Алексей и Евгения.HOMEPC\Local Settings\Temp\049.exe (Trojan.Buzus) -> No action taken. C:\Documents and Settings\Алексей и Евгения.HOMEPC\Local Settings\Temp\134.exe (Trojan.Buzus) -> No action taken. C:\Documents and Settings\Алексей и Евгения.HOMEPC\Local Settings\Temp\138.exe (Trojan.Buzus) -> No action taken. C:\Documents and Settings\Алексей и Евгения.HOMEPC\Local Settings\Temp\285.exe (Trojan.Buzus) -> No action taken. C:\Documents and Settings\Алексей и Евгения.HOMEPC\Local Settings\Temp\378.exe (Trojan.Buzus) -> No action taken. C:\Documents and Settings\Алексей и Евгения.HOMEPC\Local Settings\Temp\485.exe (Trojan.Buzus) -> No action taken. C:\Documents and Settings\Алексей и Евгения.HOMEPC\Local Settings\Temp\503.exe (Trojan.Buzus) -> No action taken. C:\Documents and Settings\Алексей и Евгения.HOMEPC\Local Settings\Temp\655.exe (Trojan.Buzus) -> No action taken. C:\Documents and Settings\Алексей и Евгения.HOMEPC\Local Settings\Temp\798.exe (Trojan.Buzus) -> No action taken. C:\Documents and Settings\Алексей и Евгения.HOMEPC\Local Settings\Temporary Internet Files\Content.IE5\AMFFUJ17\vs8[1].exe (Trojan.Buzus) -> No action taken. C:\WINDOWS\system32\17.scr (Trojan.Downloader) -> No action taken.
ПК перезагрузится.Код:begin DeleteFileMask('C:\WINDOWS\system32','??.exe', false); DeleteFileMask('C:\WINDOWS\system32','??.scr', false); DeleteFileMask('C:\Documents and Settings\Алексей и Евгения.HOMEPC\Local Settings\Temp', '*.*', true); DeleteFileMask('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true); DeleteFileMask('C:\RECYCLER\S-1-5-21-6405552188-4748548888-423104743-5003', '*.*', true); RebootWindows(true); end.
Сделаете новый лог mbam и логи avz.
Все сделал.
Последний раз редактировалось Kural; 15.06.2010 в 23:00.
Удалите в mbam
Сделаете новый лог mbamКод:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> No action taken.
Все выполнил
Пока не сделать это
лечиться будет до посиненияУстановите SP3 (может потребоваться активация) + все новые заплатки
Установите Internet Explorer 8
Удалите в МВАМ
Код:Заражено значений реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Microsoft Driver Setup (Worm.Palevo) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Driver Setup (Worm.Palevo) -> No action taken. Заражено папок: C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> No action taken. Заражено файлов: C:\avz4\Infected\2009-10-13\avz00002.dta (Trojan.Buzus) -> No action taken. C:\avz4\Infected\2009-10-13\avz00003.dta (Trojan.Buzus) -> No action taken. C:\avz4\Infected\2009-10-13\avz00004.dta (Trojan.Buzus) -> No action taken. C:\avz4\Infected\2009-10-14\avz00001.dta (Trojan.Buzus) -> No action taken. C:\avz4\Infected\2009-10-14\avz00002.dta (Trojan.Buzus) -> No action taken. C:\avz4\Infected\2009-10-14\avz00003.dta (Trojan.Buzus) -> No action taken. C:\avz4\Infected\2009-10-14\avz00004.dta (Trojan.Buzus) -> No action taken. C:\avz4\Infected\2009-10-14\avz00005.dta (Trojan.Buzus) -> No action taken. C:\avz4\Infected\2009-10-14\avz00006.dta (Trojan.Buzus) -> No action taken. C:\avz4\Infected\2009-10-14\avz00007.dta (Trojan.Buzus) -> No action taken. C:\avz4\Infected\2009-10-14\avz00008.dta (Trojan.Buzus) -> No action taken. C:\avz4\Infected\2009-10-14\avz00009.dta (Trojan.Buzus) -> No action taken. C:\WINDOWS\system32\drivers\BSvBT.exe (Worm.Palevo) -> No action taken. C:\WINDOWS\system32\41.exe (Trojan.FakeAlert) -> No action taken.
Последний раз редактировалось thyrex; 15.11.2009 в 00:09.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Все выполнил. Вирусов уйма. Помогите!!!
Новые логи делайте
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Сделал
Заплатки после SP3 ставили?
Отключите антивирус и Outpost на время выполнения скрипта
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\65.scr',''); QuarantineFile('C:\RECYCLER\S-1-5-21-1627424597-1440562089-467025810-3687\wmfcgr.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859\ls888.exe',''); TerminateProcessByName('c:\windows\system32\434.exe'); QuarantineFile('c:\windows\system32\434.exe',''); DeleteFile('c:\windows\system32\434.exe'); DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\OP_CACHE.ATR'); DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\OP_CACHE.IDX'); DeleteFile('C:\Documents and Settings\Алексей и Евгения.HOMEPC\Application Data\Microsoft\Internet Ex-plorer\Quick Launch\OP_CACHE.ATR'); DeleteFile('C:\Documents and Settings\Алексей и Евгения.HOMEPC\Application Data\Microsoft\Internet Ex-plorer\Quick Launch\OP_CACHE.IDX'); DeleteFile('C:\Documents and Settings\Алексей и Евгения.HOMEPC\Главное меню\Программы\Автозагрузка\OP_CACHE.ATR'); DeleteFile('C:\Documents and Settings\Алексей и Евгения.HOMEPC\Главное меню\Программы\Автозагрузка\OP_CACHE.IDX'); DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859\ls888.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-24SF-N85P'); DeleteFile('C:\RECYCLER\S-1-5-21-1627424597-1440562089-467025810-3687\wmfcgr.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','434'); DeleteFile('C:\WINDOWS\system32\65.scr'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); DeleteFileMask('C:\Documents and Settings\Алексей и Евгения.HOMEPC\Local Settings\Temp', '*.*', true); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Обновления поставил
Не удалось установить следующие обновления:
Пакет обновления 1 (SP1) для среды Microsoft .NET Framework 3.5 и обновление для семейства .NET Framework 3.5 (версии 2.0—3.5) для систем на базе процессоров x86 (KB951847)
Логи сделал
Опять что-то новое: антивирус находит вирусы с нарастающими числовыми номерами без остановки
Уважаемый(ая) Kural, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
