Junior Member
Вес репутации
52
Не удаляется вирус или же воскрешается.
Внимание, в архиве обнаружены опасные или вредоносные объекты:
C:\DOCUME~1\Sjoma\APPLIC~1\FieryAds\FieryAds.dll: not-a-virus:AdWare.Win32.FearAds.ay
Для детального обследования и лечения рекомендуется обратиться в раздел Помогите
Проверил быстрой проверкой DrWeb CureIt,он нашел его,я поставил на удаление,CureIt попросил перезагрузиться,перезагрузился и сделал скан процессов Avz-ом,кинул на сайт,мне отписали опять про этот вирус.
Полной проверкой проверял 1.5-2 недели назад,проверка длилась 3суток,не знаю почему так долго,поэтому в этот раз пытаюсь обойтись без неё.
Ну и главный вопрос,как удалить вирус ?
Последний раз редактировалось Agent Smith; 16.04.2010 в 10:25 .
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Junior Member
Вес репутации
52
virusinfo_syscure.zip немогу приложить,т.к. при проверке выключается AVZ,пробывал переименовывать,перезагружался,пытался раз 6,всё равно AVZ просто закрывается,без каких-либо ошибок.
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\sptd.sys','');
QuarantineFile('C:\PROGRA~1\LUCKYA~1.COM\bin\luckyacepoker.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\fcdabus.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\fvdscsi.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\vusbbus.sys','');
DeleteService('fcdabus');
QuarantineFile('C:\WINDOWS\svcadmin.exe','');
DeleteService('Anyplace Control Security');
DeleteFile('C:\WINDOWS\svcadmin.exe');
DelBHO('{35A6E2B1-27A9-47D2-913C-559E1EF1D034}');
DelBHO('{7023DE86-FAF5-4E26-94AC-C32C740270B0}');
QuarantineFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll','');
QuarantineFile('C:\autorun.inf','');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll');
DeleteFile('C:\WINDOWS\system32\DRIVERS\fcdabus.sys');
DeleteFileMask('C:\Program Files\Common Files\Target Marketing Agency', '*.*', true);
DeleteDirectory('C:\Program Files\Common Files\Target Marketing Agency');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.1-3 раздела Диагностика.(virusinfo_syscure.zip; virusinfo_syscheck.zip; hijackthis.log)
Junior Member
Вес репутации
52
Файл сохранён как 100416_192842_quarantine_4bc8822a3457b.zip
Размер файла 11143795
MD5 9b32bb32f13fbc08f34e6e373711aa32
Но файл без пароля.И когда AVZ выполнил 2 скрипт,архив создался но AVZ повис,пришлось выключать через Windows Taks Manager.
virusinfo_syscure.zip опять не могу приложить,AVZ так же выключается без ошибок и предупреждений,вроде при проверки одних и тех же директорий.
Junior Member
Вес репутации
52
Как быть ? Пытаться проверить полность,чтобы раздобыть virusinfo_syscure.zip ? Ведь не выходит (
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
52
Вложения
Файлы
Код:
C:\WINDOWS\system32\t5rdv.dll
C:\WINDOWS\system32\ecesq.dll
запакуйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы
Удалите в МВАМ
Код:
Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\AppID\{10a2afe5-a6c3-46a9-a3e9-dfbe934afcbb} (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{55264fa9-008d-4318-8f50-b79578520fc4} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{c5db6f05-089b-4fc4-a869-2c1975bd8baf} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{17249f79-bbd0-470a-9bc5-8cfd2d5046d0} (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{2a3f6f50-9a92-4553-9016-729d1e1a00ab} (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{351371a7-c5cf-472b-8ea3-b1c6414e25ed} (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{54e20e87-e6a4-4b47-a996-653752829354} (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{550da458-33b1-4150-afb7-59e9728386e3} (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{55a577b1-ad9f-4530-ad1e-463b2c4cd162} (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{5e1b5a0f-cf08-4195-ab70-209572915923} (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{7023de86-faf5-4e26-94ac-c32c740270b0} (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{84185ea0-0b56-407f-bbc9-3d1f12fe6eab} (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{84ee0b6f-c917-4552-87b9-26f5fa772a79} (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{9cdfe9f3-4d2b-4771-b6c2-c7569226939b} (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{bcfb7668-312a-4149-83ac-4e7fe71ca44c} (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{c06ce8fc-50d9-414a-a318-c90e2fcdbeb6} (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{cc29517f-d259-4ab6-912a-99678740fd00} (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{7f6edb84-901b-4309-a2f6-0058f38c4cc4} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{a1c7a1e6-6a3c-4d6f-a376-81c4bea13a62} (Adware.TMAAgent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{7023de86-faf5-4e26-94ac-c32c740270b0} (Adware.TMAagent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{fffc57db-1de3-4303-b24d-cee6dcdd3d86} (Adware.MyCentria) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d125299-c2a9-4dbc-bec3-6f7124e39a41} (Adware.FieryAds) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{fffc57db-1de3-4303-b24d-cee6dcdd3d86} (Adware.MyCentria) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{6d125299-c2a9-4dbc-bec3-6f7124e39a41} (Adware.FieryAds) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\fieryads (Adware.FieryAds) -> No action taken.
HKEY_CLASSES_ROOT\AppID\tmasrv.exe (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\steadway.ffvalidator (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\steadway.ffvalidator.1 (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\steadway.ieadapter (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\steadway.ieadapter.1 (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\steadway.steadway (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\steadway.steadway.1 (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\steadway.stwband (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\steadway.stwband.1 (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\steadway.stwdialogs (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\steadway.stwdialogs.1 (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.context (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.context.1 (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.filterdebugger (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.filterdebugger.1 (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.match (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.match.1 (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.regexp (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.regexp.1 (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.steadwaycookie (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.steadwaycookie.1 (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.steadwayerror (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.steadwayerror.1 (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.steadwayfilterrate (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.steadwayfilterrate.1 (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.steadwayreport (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.steadwayreport.1 (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.steadwayrequest (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.steadwayrequest.1 (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.steadwayserver (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.steadwayserver.1 (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.steadwaysiterate (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.steadwaysiterate.1 (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.urlscriptlet (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.urlscriptlet.1 (Adware.TMAagent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Target Marketing Agency (Adware.TMAagent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\TMAgency (Adware.TMAagent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TMAgent (Adware.TMAagent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Target Marketing Agency (Adware.TMAagent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\MyCentria (Adware.MyCentria) -> No action taken.
Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.
Зараженные папки:
C:\Documents and Settings\Sjoma\Application Data\FieryAds (Adware.FieryAds) -> No action taken.
C:\Documents and Settings\Sjoma\Local Settings\Application Data\Target Marketing Agency (Adware.TMAagent) -> No action taken.
C:\Documents and Settings\Sjoma\Local Settings\Application Data\Target Marketing Agency\TMAgent (Adware.TMAagent) -> No action taken.
C:\Documents and Settings\Sjoma\Local Settings\Application Data\Target Marketing Agency\TMAgent\update (Adware.TMAagent) -> No action taken.
Зараженные файлы:
C:\avz4\Quarantine\2010-04-16\avz00003.dta (Adware.FieryAds) -> No action taken.
C:\Documents and Settings\Sjoma\Application Data\FieryAds\FieryAdsUninstall.exe (Adware.FieryAds) -> No action taken.
C:\Documents and Settings\Sjoma\Local Settings\Application Data\Target Marketing Agency\TMAgent\update\tma-setup.exe (Adware.TMAgent) -> No action taken.
C:\Documents and Settings\Sjoma\Local Settings\Temporary Internet Files\Content.IE5\42XWMTFC\setup_lib_srl[1].exe (Spyware.Zbot) -> No action taken.
C:\Documents and Settings\Sjoma\Local Settings\Application Data\Target Marketing Agency\TMAgent\data.bin (Adware.TMAagent) -> No action taken.
C:\Documents and Settings\Sjoma\Local Settings\Application Data\Target Marketing Agency\TMAgent\params.bin (Adware.TMAagent) -> No action taken.
C:\Documents and Settings\Sjoma\Local Settings\Application Data\Target Marketing Agency\TMAgent\tmagent.bin (Adware.TMAagent) -> No action taken.
C:\Documents and Settings\Sjoma\Local Settings\Application Data\Target Marketing Agency\TMAgent\update\curver.xml (Adware.TMAagent) -> No action taken.
C:\Documents and Settings\Sjoma\Local Settings\Application Data\Target Marketing Agency\TMAgent\update\updateInfo.xml (Adware.TMAagent) -> No action taken.
C:\Documents and Settings\Sjoma\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
52
Файл сохранён как 100418_185924_files_4bcb1e4cd1e0e.zip
Размер файла 130099
MD5 580b5e92dbdbf7cd7ea44996832b6408
Закинул.
Файлы чистые
Проблема решена?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
52
Опять провёл полную проверку и удалил то,что вы указали в своём посте,перезаргузился и сделал скан процессов - закинул КиберХелпу,жду отчета.
Спасибо за помощь,будем надеяться всё чисто.
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 43 В ходе лечения обнаружены вредоносные программы:
c:\docume~1\sjoma\applic~1\fieryads\fieryads.dll - not-a-virus:AdWare.Win32.FearAds.ay ( DrWEB: Adware.FieryAds.39, BitDefender: Gen:Adware.Heur.PO8aRmdVGEBk )