Удалил из системы syrv32.exe и umdmg.exe. После подключения к инету они вернулись обратно. Установлен НОД32. Не помог.
PS Подключаюсь через 3-G модем
Удалил из системы syrv32.exe и umdmg.exe. После подключения к инету они вернулись обратно. Установлен НОД32. Не помог.
PS Подключаюсь через 3-G модем
Уточню. При подключении модема НОД ловит и удаляет на нем Autorun.inf (каждую минуту). Если подключится к инету начинает блокировать запросы на разные урл
Выполните скрипт в AVZ
Компьютер перезагрузитсяКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\system32\ctsrv.exe'); TerminateProcessByName('c:\windows\system32\qfqf4xpi4c\d001.exe'); SetServiceStart('NetActive', 4); SetServiceStart('DescriptionHero2', 4); QuarantineFile('C:\WINDOWS\system32\47.scr',''); QuarantineFile('C:\Program Files\Microsoft Office\svchost.exe',''); QuarantineFile('C:\WINDOWS\system32\amvo.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-1474232053-3548892259-697200048-8402\wmfcgr.exe,explorer.exe,C:\WINDOWS\system32\moniter.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-1474232053-3548892259-697200048-8402\wmfcgr.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe',''); QuarantineFile('C:\WINDOWS\system32\Witingsp32.exe',''); QuarantineFile('C:\WINDOWS\system32\WiSwite2.exe',''); QuarantineFile('C:\WINDOWS\system32\QT9Y289L2I\eoo1.exe',''); QuarantineFile('C:\WINDOWS\system32\regedit32.exe',''); QuarantineFile('C:\WINDOWS\TEMP\BClib\krnln.fne',''); QuarantineFile('C:\WINDOWS\TEMP\BClib\Exmlrpc.fne',''); QuarantineFile('C:\WINDOWS\TEMP\BClib\dp1.fne',''); QuarantineFile('c:\windows\system32\asitsvstart.dll',''); QuarantineFile('c:\windows\system32\qfqf4xpi4c\d001.exe',''); QuarantineFile('c:\windows\system32\ctsrv.exe',''); DeleteFile('c:\windows\system32\qfqf4xpi4c\d001.exe'); DeleteFile('c:\windows\system32\ctsrv.exe'); DeleteFile('c:\windows\system32\asitsvstart.dll'); DeleteFile('C:\WINDOWS\TEMP\BClib\dp1.fne'); DeleteFile('C:\WINDOWS\TEMP\BClib\Exmlrpc.fne'); DeleteFile('C:\WINDOWS\TEMP\BClib\krnln.fne'); DeleteFile('C:\WINDOWS\system32\regedit32.exe'); DeleteFile('C:\WINDOWS\system32\QT9Y289L2I\eoo1.exe'); DeleteFile('C:\WINDOWS\system32\WiSwite2.exe'); DeleteFile('C:\WINDOWS\system32\Witingsp32.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-1474232053-3548892259-697200048-8402\wmfcgr.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-1474232053-3548892259-697200048-8402\wmfcgr.exe,explorer.exe,C:\WINDOWS\system32\moniter.exe'); DeleteFile('C:\WINDOWS\system32\amvo.exe'); DeleteFile('C:\Program Files\Microsoft Office\svchost.exe'); DeleteFile('C:\WINDOWS\system32\47.scr'); DelCLSID('{LMS03AB-B707-11d2-9CBD-0000F87A369E}'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','amva'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\AsiSrv\Parameters','ServiceDll'); DeleteService('Witingsp32'); DeleteService('WiSwite32'); DeleteService('Description1.6'); DeleteService('BackGround Switch'); DeleteService('NetActive'); DeleteService('DescriptionHero2'); DeleteFileMask('C:\WINDOWS\system32\QT9Y289L2I', '*.*', true); DeleteDirectory('C:\WINDOWS\system32\QT9Y289L2I'); DeleteFileMask('c:\windows\system32\qfqf4xpi4c', '*.*', true); DeleteDirectory('c:\windows\system32\qfqf4xpi4c'); DeleteFileMask('%Tmp%', '*.*', true); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + лог http://virusinfo.info/showpost.php?p=493610&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Логи
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: c:\windows\system32\DwoOEMihHSWoLwa.dll c:\windows\system32\SvrFEYahssD.dll c:\windows\system32\YRSpkABEADcCIWC.dll c:\windows\system32\wfnzraASCwXfmKi.dll c:\windows\system32\CQLGqXePmRQI.dll c:\windows\system32\zPUuBOXDnpR.dll c:\windows\system32\LbjSndaUGZRczy.dll c:\windows\system32\qoAzWrQdSoZzImH.dll Driver:: Folder:: c:\windows\system32\4NOMHUJAMO c:\windows\system32\4G2AMU5J1D c:\windows\system32\FP08U1O4B1 c:\windows\system32\F7YJTUC8OL c:\windows\system32\FUIF1GYY74 c:\windows\system32\ETJ1QVPVHF c:\windows\system32\E5KKYYGR8T c:\windows\system32\EB7JIDLG4G c:\windows\system32\EHLPVGYL9I c:\windows\system32\ESVNZA9X1S c:\windows\system32\DEMX9AIEU5 c:\windows\system32\DG64B6A7JF c:\windows\system32\D9KRG6XFX3 c:\windows\system32\DVA1P66WQH c:\windows\system32\C8ESBYVE0C c:\windows\system32\BNCANL3CXJ c:\windows\system32\AFJYNDOJEG c:\windows\system32\AJ7JV6L5KF c:\windows\system32\9QO4E73266 c:\windows\system32\9FM602N5XX c:\windows\system32\99TE3OMM1R c:\windows\system32\817NX30SQR c:\windows\system32\8F2S3S3X7A c:\windows\system32\7JQDCL0ID8 c:\windows\system32\MDTOCJP15W c:\windows\system32\L9PQ2S5Y0B c:\windows\system32\J6X5NLL3UF c:\windows\system32\IF7INLH5YS c:\windows\system32\IF1QALMBY8 c:\windows\system32\HXP833HWL8 c:\windows\system32\HH7BU7QQYE c:\windows\system32\GEZR0PH0SH c:\windows\system32\FW0V1MWNYT c:\windows\system32\EJNYMXHZZT c:\windows\system32\DISK6N6L15 c:\windows\system32\CAPT9Q6CH6 c:\windows\system32\BXS43Q7YJL c:\windows\system32\ABQ84R7TR4 c:\windows\system32\9M9SMN4JBP c:\windows\system32\9VBJ8JE9MQ c:\windows\system32\826IIMED0D c:\windows\system32\8PREQ8Z3JW c:\windows\system32\7VV67LSRN3 c:\windows\system32\6NCMDP5IVK c:\windows\system32\5Y26L8WNX6 c:\windows\system32\4E0PYV5LUD c:\windows\system32\9WRKF8AD1P c:\windows\system32\8HPOLN72EW c:\windows\system32\69D4HEF93D c:\windows\system32\5F83RHFDH1 c:\windows\system32\NK9PB614JS c:\windows\system32\L06G66BZ9G c:\windows\system32\KKQRAYIE42 c:\windows\system32\JU1A36LO6M c:\windows\system32\I69N8OZTGT c:\windows\system32\GJ6TZUVCIK c:\windows\system32\E2VQMDRFEI c:\windows\system32\CKVUN962KV c:\windows\system32\B0WKDKDM0J c:\windows\system32\AVFT1649EE c:\windows\system32\8OH2ZK1PLG c:\windows\system32\7V1UV9I8QO c:\windows\system32\5WXGEBNW02 c:\windows\system32\43G8904F5A c:\windows\system32\36MUSM8T4G c:\windows\system32\1K5KTPM7DC c:\windows\system32\ZPH66I232C c:\windows\system32\YJ10IJLNQI c:\windows\system32\XWWRENGPHC c:\windows\system32\XFEU5ROJUH c:\windows\system32\65CMINN1IX c:\windows\system32\4S9IB90WBG c:\windows\system32\4QRJL17Q4O c:\windows\system32\3M66PW8QG6 c:\windows\system32\2NI69W0VP7 c:\windows\system32\20QP7NK7YM c:\windows\system32\1GFFDY0M59 c:\windows\system32\1TKYFEN8NN c:\windows\system32\0B8G7VJSAO c:\windows\system32\0M9L4D1MBD c:\windows\system32\YKQUXIABV1 c:\windows\system32\YN58NF69LR c:\windows\system32\X5KX8MAAH7 c:\windows\system32\HIHNAAVSNA c:\windows\system32\G1553SRD9A c:\windows\system32\GTD0VTIROF c:\windows\system32\FWOEQEH0N5 c:\windows\system32\F036SWM12J c:\windows\system32\E2EKNHMA18 c:\windows\system32\EFWWSKZ616 c:\windows\system32\DP7GLR2G2R c:\windows\system32\DWF8XHRTYZ c:\windows\system32\CKHW220JQ2 c:\windows\system32\CICPEIWM0U c:\windows\system32\BN0ANBT76S c:\windows\system32\BOUWLX6GXX c:\windows\system32\BN8ACZONPS c:\windows\system32\BZI8GSZ0G2 c:\windows\system32\AQWHA7D552 c:\windows\system32\A7UEYFT6SY c:\windows\system32\9G5KF1OD4U c:\windows\system32\QFQF4XPI4C c:\windows\system32\PGL13J2SUH c:\windows\system32\PP1ZX5SS6X c:\windows\system32\PN2LMKKPG8 Registry:: [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] "AsiSrv"=- [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Taskman"=- FileLook:: DirLook::
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Повторные логи
Это все? Логи чисты?
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: c:\windows\system32\asitsclib.dll Driver:: Folder:: c:\windows\system32\PJ971RRABQ c:\windows\system32\z Registry:: FileLook:: DirLook::
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 44
- В ходе лечения обнаружены вредоносные программы:
- c:\recycler\s-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe - Email-Flooder.Win32.Agent.al ( DrWEB: Trojan.Inject.8599, BitDefender: Backdoor.Tofsee.BV, AVAST4: Win32:Flot-E [Trj] )
- c:\recycler\s-1-5-21-1474232053-3548892259-697200048-8402\wmfcgr.exe - P2P-Worm.Win32.Palevo.xmr ( DrWEB: Trojan.MulDrop1.9814, BitDefender: Worm.Generic.234391, AVAST4: Win32:Malware-gen )
- c:\windows\system32\asitsvstart.dll - Trojan-Downloader.Win32.Agent.dnbh ( DrWEB: Trojan.DownLoader1.4778, BitDefender: DeepScan:Generic.Peed.40954F02, AVAST4: Win32:Malware-gen )
- c:\windows\system32\ctsrv.exe - Backdoor.Win32.Hupigon.knjk ( DrWEB: BackDoor.Pigeon.2254, BitDefender: GenPack:Backdoor.Hupigon.YSM, AVAST4: Win32:Hupigon-CES [Trj] )
- c:\windows\system32\qfqf4xpi4c\d001.exe - Trojan-GameThief.Win32.OnLineGames.wjxb ( DrWEB: Trojan.Siggen1.19101, BitDefender: Trojan.Generic.3595791, AVAST4: Win32:Dogrobot [Drp] )
- c:\windows\system32\regedit32.exe - Backdoor.Win32.DarkShell.ec ( DrWEB: Trojan.DownLoad.28073, BitDefender: Trojan.Generic.3602926, AVAST4: Win32:Agent-AFWS [Trj] )
Уважаемый(ая) vanvan, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.