Показано с 1 по 16 из 16.

Поевление нового файла (заявка № 70741)

  1. #1
    Junior Member Репутация
    Регистрация
    27.08.2009
    Сообщений
    48
    Вес репутации
    27

    Thumbs up Поевление нового файла

    Вот сидит у меня бацЫла в диске C:/r1g8i9p1d5q7.exe

    Вобщем, проблема не токо в этом...
    На мой взгляд что-то
    Нарушает быстродействие и работаспособность ПК.

    Вот файлы(извеняюсь что немогу прикрепить, что-то блокирует доступ к вашему и другим сайтам, в которых я могбы найти помощь, используй прокси =( )

    http://yy.lv/download.php?f=106161

    Ещё раз извеняюсь и надеюсь на Вашу отзывчивость и понимание.

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    397
    Пофиксить в Hijack следующие строки:
    Код:
    F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe rwkv.buo djkfb
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\5ITeyGG.exe,C:\WINDOWS\system32\services.exe,\\?\globalroot\systemroot\system32\awBm2cJ.exe,
    Выполнить скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('r1g8i9p1d5q7.exe','');
    QuarantineFile('%system32%\awBm2cJ.exe','');
    QuarantineFile('%system32%\5ITeyGG.exe','');
     QuarantineFile('C:\WINDOWS\system32\rwkv.buo','');
     QuarantineFile('C:\WINDOWS\system32\drivers\anftdird.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\Cbfgm.exe','');
     QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
     QuarantineFile('c:\windows\explorer.exe:userini.exe:$DATA','');
     QuarantineFile('c:\windows\system32\drivers\cbfgm.exe','');
     TerminateProcessByName('c:\windows\system32\drivers\cbfgm.exe');
     DeleteFile('c:\windows\system32\drivers\cbfgm.exe');
     DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA');
     DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
     DeleteFile('C:\WINDOWS\system32\drivers\Cbfgm.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
     DeleteFile('C:\WINDOWS\system32\rwkv.buo');
     DeleteFile('%system32%\5ITeyGG.exe');
     DeleteFile('%system32%\awBm2cJ.exe');
     DeleteFile('r1g8i9p1d5q7.exe');
    BC_ImportAll;
    ExecuteSysClean;
    Executerepair(6);
    Executerepair(13);
    Executerepair(16);
    ExecuteWizard('SCU', 2, 2, true);
    ExecuteWizard('PRT', 2, 2, true);
    ExecuteWizard('TSW', 2, 2, true);
    RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    BC_Activate;
    RebootWindows(true);
    end.
    закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
    Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    27.08.2009
    Сообщений
    48
    Вес репутации
    27
    Надеюсь зделаю всё правильно

    http://yy.lv/download.php?f=106251

    Если что, повтарю всё завтро =|

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    397
    Выполнить скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\Drivers\ZFMSYS.sys','');
     DeleteFile('C:\WINDOWS\system32\Drivers\ZFMSYS.sys');
    BC_ImportAll;
    ExecuteSysClean;
    Executerepair(13);
    BC_Activate;
    RebootWindows(true);
    end.
    закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).

    Обновите базы АВЗ!

    Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
    Последний раз редактировалось Шапельский Александр; 09.02.2010 в 23:35. Причина: Добавлено

  6. #5
    Junior Member Репутация
    Регистрация
    27.08.2009
    Сообщений
    48
    Вес репутации
    27
    К сожелению и с обновлением проблемы =(
    Возможно это изза того, что у меня сменился интернет и соответственно IP адресс тоже сменился, а мой новый IP адресс у вас заблокирован...

    Вобщем вот файлы:
    http://yy.lv/download.php?f=106322

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    397
    Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('FCI');
     SetServiceStart('FCI', 4);
     DeleteService('FCI');
     QuarantineFile('C:\WINDOWS\system32\svchost.exe:ext.exe','');
     DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe');
     BC_DeleteSvc('FCI');
    BC_ImportAll;
    ExecuteSysClean;
    Executerepair(13);
    BC_Activate;
    RebootWindows(true);
    end.
    Просканируйте ПК Куреитом (др.Веб) и AVPTool.

    Затем сделайте логи.

  8. #7
    Junior Member Репутация
    Регистрация
    27.08.2009
    Сообщений
    48
    Вес репутации
    27
    Очень извеняюсь, что немог раньче этого выполнить, просто дела...

    http://yy.lv/download.php?f=110417

    Вот то что нужно, просканировал с AVP

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    397
    Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('FCI');
     SetServiceStart('FCI', 4);
     DeleteService('FCI');
     QuarantineFile('C:\WINDOWS\system32\svchost.exe:ext.exe','');
     TerminateProcessByName('c:\windows\system32\nvidiat.exe');
     QuarantineFile('c:\windows\system32\nvidiat.exe','');
     QuarantineFile('C:\WINDOWS\system32\userini.exe','');
     DeleteFile('C:\WINDOWS\system32\userini.exe');
     DeleteFile('c:\windows\system32\nvidiat.exe');
     DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe');
     BC_ImportAll;
    BC_DeleteSvc('FCI');
    ExecuteSysClean;
    Executerepair(13);
    Executerepair(20);
    ExecuteWizard('TSW', 2, 2, true);
    BC_Activate;
    RebootWindows(true);
    end.
    закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
    Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
    P.S. У Вас установлены следующие антивирусы--ESET NOD32 и Antivirus Zillya. Рекомендую оставить ESET NOD32, а Antivirus Zillya удалите.

  10. #9
    Junior Member Репутация
    Регистрация
    27.08.2009
    Сообщений
    48
    Вес репутации
    27
    http://yy.lv/download.php?f=110667

    P.S. я вроде как удалил уже давно Antivirus Zillya, незнаю почему он ещё виден, не подскажете пожалуйста, как его полностю удалить ?

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    397
    Пофиксить в Hijack следующие строки:
    Код:
    O4 - HKLM\..\RunServices: [nvidiat] nvidiat.exe
    O4 - HKCU\..\Run: [nvidiat] nvidiat.exe
    O4 - HKCU\..\Run: [Zillya Antivirus] C:\Program Files\Zillya Antivirus\zillya.exe /min
    Выполнить скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFilemask('C:\Program Files\Zillya Antivirus','*.*',true);
     DeleteDirectory('C:\Program Files\Zillya Antivirus');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Zillya Antivirus');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Сделайте новый лог virusinfo_syscheck.zip, лог Hijack и лог MBAM

  12. #11

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    397
    Удалите в MBAM
    Код:
    Заражено ключей реестра:
    HKEY_CURRENT_USER\SOFTWARE\FlySky (Malware.Trace) -> No action taken.
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\fci (Rootkit.Agent) -> No action taken.
    HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
    Заражено файлов:
    C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
    Сделайте лог MBAM

  14. #13
    Junior Member Репутация
    Регистрация
    27.08.2009
    Сообщений
    48
    Вес репутации
    27

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    397
    В логе чисто, что с проблемой?
    Windows 5.1.2600 Service Pack 2
    Internet Explorer 7.0.5730.11
    Рекомендую обновить, +установить последние обновления на ОС.

  16. #15
    Junior Member Репутация
    Регистрация
    27.08.2009
    Сообщений
    48
    Вес репутации
    27
    спасибо огромное за помощь, вроде всё прошло и даже на Ваш сайт пускает, а то приходилось использовать прокси =(

    Ещё раз, оргомное спасибо!

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,540
    Вес репутации
    941

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 7
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\userini.exe - Packed.Win32.Krap.ai ( DrWEB: Trojan.Spambot.7492, BitDefender: Trojan.Generic.3013083, NOD32: Win32/SpamTool.Tedroo.AG trojan, AVAST4: Win32:FakeAlert-GV [Trj] )


  • Уважаемый(ая) 6matko, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. get accelerator (ничего нового)
      От gomesgomes в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 02.12.2009, 12:34
    2. ПРЕСТУПНИКИ НОВОГО ТИПА
      От SDA в разделе Оффтоп
      Ответов: 0
      Последнее сообщение: 01.12.2009, 21:46
    3. Похоже на нового руткита
      От gjf в разделе Помогите!
      Ответов: 25
      Последнее сообщение: 20.02.2009, 21:47
    4. Идея нового раздела.
      От Dark_Blaze в разделе Технические и иные вопросы
      Ответов: 11
      Последнее сообщение: 24.10.2005, 11:32

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00258 seconds with 21 queries