Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 36.

помогите избавиться от вируса , с адреса zonetech . (заявка № 60201)

  1. #1
    Junior Member Репутация
    Регистрация
    13.11.2009
    Сообщений
    19
    Вес репутации
    53

    Thumbs up помогите избавиться от вируса , с адреса zonetech .

    уже форматировал диск С:
    пока ничего не помогает..

    постоянно удаляет какие то вирусы.. но чтото на компе всё таки остается

    Код:
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 23:19:56, on 13.11.2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.20861)
    Boot mode: Normal
    
    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\igfxtray.exe
    C:\WINDOWS\system32\hkcmd.exe
    C:\WINDOWS\system32\igfxpers.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\WINDOWS\ALCWZRD.EXE
    C:\WINDOWS\ALCMTR.EXE
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\VistaDriveIcon\VistaDrv.exe
    C:\Program Files\Internet Download Manager\IDMan.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\jcdrive32.exe
    C:\WINDOWS\mshost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Internet Download Manager\IEMonitor.exe
    C:\WINDOWS\explorer.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\WINDOWS\system32\CMMON32.EXE
    C:\Documents and Settings\Администратор\Рабочий стол\HijackThis.exe
    
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://forum.spark-media.ru/index.php?s=&showtopic=10450&view=findpost&p=123522
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
    O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
    O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\jcdrive32.exe
    O4 - HKLM\..\Run: [wshost32] C:\WINDOWS\system32\wshost32.exe
    O4 - HKLM\..\Run: [mshost] C:\WINDOWS\mshost.exe
    O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
    O4 - HKCU\..\Run: [VistaIcon] C:\Program Files\VistaDriveIcon\VistaDrv.exe
    O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
    O4 - HKCU\..\Run: [12CFG214-K641-12SF-N85P] C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe
    O4 - HKCU\..\Run: [12CFG214-K641-24SF-N85P] C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859\ls888.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\jcdrive32.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-19\..\Run: [VistaIcon] C:\Program Files\VistaDriveIcon\VistaDrv.exe (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-19\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-19\..\RunOnce: [IE7_012] rundll32 advpack.dll,LaunchINFSectionEx IE7int.inf,AfterUserStart,,4,N (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-19\..\RunOnce: [IE7_013] rebuild.exe (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
    O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETWORK SERVICE')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
    O8 - Extra context menu item: Download all links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
    O8 - Extra context menu item: Download FLV video content with IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
    O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O17 - HKLM\System\CCS\Services\Tcpip\..\{32A024CF-41F4-41DF-AB26-635DF1952477}: NameServer = 91.192.32.33
    O17 - HKLM\System\CS1\Services\Tcpip\..\{32A024CF-41F4-41DF-AB26-635DF1952477}: NameServer = 91.192.32.33
    O17 - HKLM\System\CS2\Services\Tcpip\..\{32A024CF-41F4-41DF-AB26-635DF1952477}: NameServer = 91.192.32.12
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
    O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
    O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
    O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
    O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
    O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
    O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe
    
    --
    End of file - 7031 bytes
    Последний раз редактировалось pig; 14.11.2009 в 00:28. Причина: повоевал с простынёй

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.03.2009
    Адрес
    Ставрополь
    Сообщений
    1,355
    Вес репутации
    154
    Оформите запрос как рекомендовано в Правилах - сделайте логи AVZ и загрузите пользуясь кнопкой УПРАВЛЕНИЕ ВЛОЖЕНИЯМИ
    The Truth is Out There

  4. #3
    Junior Member Репутация
    Регистрация
    13.11.2009
    Сообщений
    19
    Вес репутации
    53
    вот логи.
    надеюсь всё правильно сделал
    Вложения Вложения

  5. #4
    Junior Member Репутация
    Регистрация
    13.11.2009
    Сообщений
    19
    Вес репутации
    53
    посмотрите пожалуйста тему

    компьютер постоянно зависает и выдает ошибку приложения svchost.exe

    а при входе в систему ошибку приложения explorer.exe

  6. #5
    ВайБро Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Ingener
    Регистрация
    05.09.2009
    Адрес
    Воронеж
    Сообщений
    819
    Вес репутации
    351
    Пофиксите в HijackThis:
    Код:
    O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\jcdrive32.exe
    O4 - HKLM\..\Run: [mshost] C:\WINDOWS\mshost.exe
    O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\jcdrive32.exe
    Затем выполните скрипт В AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('C:\WINDOWS\mshost.exe');
     TerminateProcessByName('C:\WINDOWS\jcdrive32.exe');
     QuarantineFile('C:\WINDOWS\system32\wshost32.exe','');
     QuarantineFile('C:\WINDOWS\mshost.exe','');
     QuarantineFile('C:\WINDOWS\jcdrive32.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859\ls888.exe','');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859\ls888.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-24SF-N85P');
     DeleteFile('C:\WINDOWS\system32\wshost32.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wshost32');
     DeleteFile('C:\WINDOWS\mshost.exe');
     DeleteFile('C:\WINDOWS\jcdrive32.exe');
    BC_ImportALL;
    ExecuteSysClean;
    ExecuteWizard('TSW', 2, 2, true);
    ExecuteWizard('SCU', 2, 2, true);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Затем выполните второй скрипт в AVZ:
    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Файл quarantine.zip закачайте по ссылке "прислать запрошенный карантин" вверху темы.

    Затем повторите все логи по правилам.
    GHETTO/STREET WORKOUT

  7. #6
    Junior Member Репутация
    Регистрация
    13.11.2009
    Сообщений
    19
    Вес репутации
    53
    логи
    Последний раз редактировалось Velvetinidea; 14.11.2009 в 17:13.

  8. #7
    ВайБро Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Ingener
    Регистрация
    05.09.2009
    Адрес
    Воронеж
    Сообщений
    819
    Вес репутации
    351
    Вы выложили карантин virusinfo_cure.zip вместо лога virusinfo_syscheck.zip - будьте внимательнее.
    А карантин virusinfo_cure.zip срочно уберите из сообщения.

    В логах чисто - что с проблемой?

    D:\1\Vanes\Local Settings\Temp\
    F:\9e693a3b32cc38fb0fda2d80e7c648
    Это что за папки (F - это флешка?)?
    Последний раз редактировалось Ingener; 14.11.2009 в 17:04. Причина: Добавлено
    GHETTO/STREET WORKOUT

  9. #8
    Junior Member Репутация
    Регистрация
    13.11.2009
    Сообщений
    19
    Вес репутации
    53
    D:\1\Vanes\Local Settings\Temp\ вот это немогу удалить даже с анлокером

    F:\9e693a3b32cc38fb0fda2d80e7c648 а вот это даже незнаю что такое..
    удалил эту папку

    никакие флешки не подключены

    F - это жесткий диск


    ещё добавлю , что только что снова была ошибка svchost.exe
    но это до удаления загадочной папки на F диске
    Последний раз редактировалось Velvetinidea; 14.11.2009 в 17:24.

  10. #9
    ВайБро Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Ingener
    Регистрация
    05.09.2009
    Адрес
    Воронеж
    Сообщений
    819
    Вес репутации
    351
    У вас на диске D ещё одна операционная система установлена?

    Если нет - выполните скрипт В AVZ:
    Код:
    begin
    SetAVZGuardStatus(True);
     DeleteFileMask('D:\1','*.*',true);
     DeleteDirectory('D:\1');
     DeleteFileMask('F:\9e693a3b32cc38fb0fda2d80e7c648','*.*',true);
     DeleteDirectory('F:\9e693a3b32cc38fb0fda2d80e7c648');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Затем повторите лог virusinfo_syscheck.zip.
    И сделайте такой лог: http://virusinfo.info/showthread.php?t=53070
    Последний раз редактировалось Ingener; 14.11.2009 в 17:43.
    GHETTO/STREET WORKOUT

  11. #10
    Junior Member Репутация
    Регистрация
    13.11.2009
    Сообщений
    19
    Вес репутации
    53
    помогите скриптом удалить папки System Volume Information и RECYCLER с дисков E, F , D ,G

  12. #11
    ВайБро Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Ingener
    Регистрация
    05.09.2009
    Адрес
    Воронеж
    Сообщений
    819
    Вес репутации
    351
    System Volume Information и RECYCLER - это системные папки их не нужно удалять.
    А если в будующе у вас возникнут проблемы при удаление какой-либо папки - для вас есть тема: http://virusinfo.info/showthread.php?t=59252
    Только перед удалением какой-либо папки обязательно проверяйте что вы удаляете.


    Ваши дальнейшие действия:
    1) Отключите восстановление системы.
    2) Выполните скрипт в AVZ:
    Код:
    begin
    SetAVZGuardStatus(True);
     DeleteFileMask('D:\System Volume Information','*.*',true);
     DeleteFileMask('E:\System Volume Information','*.*',true);
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    3) Повторите лог mbam + сделайте такой лог: http://virusinfo.info/showthread.php?t=40118.
    Последний раз редактировалось Ingener; 14.11.2009 в 22:44. Причина: дополнено
    GHETTO/STREET WORKOUT

  13. #12
    Junior Member Репутация
    Регистрация
    13.11.2009
    Сообщений
    19
    Вес репутации
    53
    а как отключить восстановление системы , если такого пункта нет в свойствах м.компьютера ?

    очень долго делаются логи : (
    и постоянно аваст находит всё новые вирусы

  14. #13
    ВайБро Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Ingener
    Регистрация
    05.09.2009
    Адрес
    Воронеж
    Сообщений
    819
    Вес репутации
    351
    а как отключить восстановление системы , если такого пункта нет в свойствах м.компьютера ?
    Делали как здесь описано - Как отключить восстановление системы?
    Если у вас не получится это сделать - пропустите этот пункт и выполняйте следующие.

    и постоянно аваст находит всё новые вирусы
    Опишите подробнее в каких папках и какие вирусы (названия) находит Аваст?
    GHETTO/STREET WORKOUT

  15. #14
    Junior Member Репутация
    Регистрация
    13.11.2009
    Сообщений
    19
    Вес репутации
    53
    zonetech61.info

    много ещё до этого было..
    не успел записать

    раньше аваст постоянно находил вирусы в папках темп папках интернет файлов
    или в корзинах
    в system32 находит чтото вроде svhost

  16. #15
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    В этих логах чисто

    Проведите уборку
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  17. #16
    Junior Member Репутация
    Регистрация
    13.11.2009
    Сообщений
    19
    Вес репутации
    53
    у меня темп файлы удаляются только при помощи анлокера..
    и через какое то время появляются снова во всех темпах

    info2
    файл появляется на всех дисках в папке RECYCLER

    сейчас сделаю как написано в теме.

    Добавлено через 19 минут

    пока вирусов нет ..
    все темпы почистил

    тему не закрывайте
    если до завтра чтото появится я напишу.

    всем большое спасибо.

    Добавлено через 13 минут

    нет.. ничего не помогло )

    снова вирусная атака с адреса zonetech61.info/58.exe
    в Temporary Internet Files появляются папки content.IE5
    и desktop.ini в каждой папке
    Последний раз редактировалось Velvetinidea; 15.11.2009 в 01:11. Причина: Добавлено

  18. #17
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Выполните скрипт в аттаче, результат c:\avz_log.txt прикрепите к сообщению. Повторите логи AVZ и HiJackThis по правилам.
    Вложение 178975

  19. #18
    Junior Member Репутация
    Регистрация
    13.11.2009
    Сообщений
    19
    Вес репутации
    53
    вотс

    продолжается атака с адреса zonetech68.info
    и ещё с DComExploit.. чтото такое

  20. #19
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    А c:\avz_log.txt где потерялся?

  21. #20
    Junior Member Репутация
    Регистрация
    13.11.2009
    Сообщений
    19
    Вес репутации
    53
    я просто немного не понял , что мне нужно сделать )

    я выполнил скрипт , который у вас был прикреплен
    а потом 2 стандартных скрипта в AVZ

    где я должен был взять avz_log.txt ? )
    Последний раз редактировалось Velvetinidea; 15.11.2009 в 03:11.

  • Уважаемый(ая) Velvetinidea, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. помогите избавиться от вируса
      От eik в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 23.06.2010, 23:52
    2. Ответов: 4
      Последнее сообщение: 22.01.2010, 10:50
    3. Ответов: 6
      Последнее сообщение: 08.01.2010, 15:43
    4. Ответов: 17
      Последнее сообщение: 29.09.2009, 14:35
    5. Помогите избавиться от вируса
      От blackw0lf в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.05.2009, 19:37

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00402 seconds with 22 queries