Junior Member
Вес репутации
60
Проблемы с вирусами.
Добрый день!
У меня возникли проблемы с ноутбуком, который временно был отдан в пользование младшему брату. У меня ощущение, что на ноутбуке куча различных вирусов, т.к. CureIt сваливает машину в бсод в безопасном режиме, а так же различное количество непонятных сервисов грузится вместе с системой.
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Здравствуйте.
Пофиксите в Hijackthis :
Код:
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ :
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\uhvbuy.dll','');
QuarantineFile('C:\Program Files\AskSearch\bin\DefaultSearch.dll','');
DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');
DelBHO('{D4C56A33-3488-495B-8033-9BF834E276D8}');
QuarantineFile('C:\PROGRA~1\Webalta\WEBALT~1.DLL','');
DelBHO('{6d125299-c2a9-4dbc-bec3-6f7124e39a41}');
DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}');
DelBHO('{C94E154B-1459-4A47-966B-4B843BEFC7DB}');
QuarantineFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll','');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\TPHKDRV.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\IBMBLDID.sys','');
QuarantineFile('C:\Program Files\Webalta\WebaltaUpdaterService.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Ntfs.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\atapi.sys','');
QuarantineFile('C:\DOCUME~1\User\APPLIC~1\FieryAds\FieryAds.dll','');
QuarantineFile('C:\Documents and Settings\User\Application Data\AdSubscribe\AdSubscribe.dll','');
DeleteService('WebaltaController');
DeleteFile('C:\Documents and Settings\User\Application Data\AdSubscribe\AdSubscribe.dll');
DeleteFile('C:\DOCUME~1\User\APPLIC~1\FieryAds\FieryAds.dll');
DeleteFile('C:\Program Files\Webalta\WebaltaUpdaterService.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll');
DeleteFile('C:\PROGRA~1\Webalta\WEBALT~1.DLL');
DeleteFile('C:\Program Files\AskSearch\bin\DefaultSearch.dll');
DeleteFile('E:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\uhvbuy.dll');
DeleteFileMask('C:\Program Files\AskBarDis', '*.*', true);
DeleteDirectory('C:\Program Files\AskBarDis');
DeleteFileMask('C:\Program Files\AskSearch', '*.*', true);
DeleteDirectory('C:\Program Files\AskSearch');
DeleteFileMask('C:\Program Files\Webalta', '*.*', true);
DeleteDirectory('C:\Program Files\Webalta');
DeleteFileMask('C:\DOCUME~1\User\APPLIC~1\FieryAds', '*.*', true);
DeleteDirectory('C:\DOCUME~1\User\APPLIC~1\FieryAds');
DeleteFileMask('C:\Documents and Settings\User\Application Data\AdSubscribe', '*.*', true);
DeleteDirectory('C:\Documents and Settings\User\Application Data\AdSubscribe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(13);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!!!
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам + лог gmer
Junior Member
Вес репутации
60
Вложения
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\uhvbuy.dll');
DeleteFile('E:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(13);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится
Сохраните текст ниже как cleanup.bat в ту же папку, где находится 1ucx7n17.exe (gmer)
Код:
1ucx7n17.exe -del service hizxpwsn
1ucx7n17.exe -del service iiojoqwl
1ucx7n17.exe -del service nibzbhg
1ucx7n17.exe -del file "C:\WINDOWS\system32\uhvbuy.dll"
1ucx7n17.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\nibzbhg"
1ucx7n17.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hizxpwsn"
1ucx7n17.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\iiojoqwl"
1ucx7n17.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\nibzbhg"
1ucx7n17.exe -del reg "HKLM\SYSTEM\controlset003\Services\iiojoqwl"
1ucx7n17.exe -del reg "HKLM\SYSTEM\controlset003\Services\nibzbhg"
1ucx7n17.exe -reboot
И запустите cleanup.bat.
Компьютер перезагрузится!
C:\WINDOWS\system32\DRIVERS\atapi.sys
C:\WINDOWS\system32\Drivers\Ntfs.sys
замените файлы чистыми с дистрибутива - http://virusinfo.info/showthread.php?t=51654
Сделайте новый комплект логов
Junior Member
Вес репутации
60
Вложения
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
ClearHostsFile;
SetAVZPMStatus(True);
RebootWindows(true);
end.
компьютер перезагрузится.
Сделайте такую процедуру. Удалите Bonjour
Обновите Internet Explorer до 8 версии.
Сделайте новый лог virusinfo_syscheck.zip и gmer
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 41 В ходе лечения обнаружены вредоносные программы:
c:\docume~1\user\applic~1\fieryads\fieryads.dll - not-a-virus:AdWare.Win32.FearAds.gs ( DrWEB: Trojan.AdSubscribe.135, BitDefender: Gen:Adware.Heur.OO8aRKQpfiDk, AVAST4: Win32:FieryAds [Adw] ) c:\progra~1\webalta\webaltatoolbar.dll - not-a-virus:AdWare.Win32.Webalt.b ( BitDefender: Adware.Generic.55396, AVAST4: Win32:Adware-gen [Adw] ) c:\progra~1\webalta\webalt~1.dll - not-a-virus:AdWare.Win32.Webalt.b ( BitDefender: Adware.Generic.55396, AVAST4: Win32:Adware-gen [Adw] ) c:\windows\system32\drivers\atapi.sys - Virus.Win32.Protector.c ( DrWEB: Trojan.DownLoad.47257, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.E virus, AVAST4: Win32:Cutwail-AD [Trj] ) c:\windows\system32\drivers\ntfs.sys - Virus.Win32.Protector.c ( DrWEB: BackDoor.Bulknet.404, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.E virus, AVAST4: Win32:Cutwail-Y [Rtk] ) c:\windows\system32\ntos.exe - Trojan-Spy.Win32.Zbot.vpn ( DrWEB: Trojan.Packed.424, BitDefender: Backdoor.Bot.76021, AVAST4: Win32:Delf-LZC [Drp] ) c:\windows\system32\uhvbuy.dll - Net-Worm.Win32.Kido.ih ( DrWEB: Win32.HLLW.Autoruner.5555, BitDefender: Win32.Worm.Downadup.Gen, NOD32: Win32/Conficker.AA worm, AVAST4: Win32:Confi [Wrm] ) e:\autorun.inf - Net-Worm.Win32.Kido.ir ( BitDefender: Worm.Autorun.VHG, AVAST4: BV:AutoRun-S [Wrm] )
Рекомендации:
Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !