Компьютер общественный, и как результат на данный момент куча мусора на винте да букет вирусов в придачу. Отформатировать нельзя есть много рабочей информации. Стоит фаервол и какой-никакой антивирус но не помогли.((
Пожалуйста помогите вылечится
Компьютер общественный, и как результат на данный момент куча мусора на винте да букет вирусов в придачу. Отформатировать нельзя есть много рабочей информации. Стоит фаервол и какой-никакой антивирус но не помогли.((
Пожалуйста помогите вылечится
Закройте/выгрузите все программы кроме AVZ .
Отключите:
- ПК от интернета/локалки;
- антивирус и файрвол;
- восстановление системы;
- выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Компьютер перезагрузитсяКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\system32\xzzoip.exe'); TerminateProcessByName('c:\program files\microsoft office\svchost.exe'); TerminateProcessByName('c:\windows\system32\xm9twc3fm8\j002.exe'); TerminateProcessByName('c:\windows\system32\xm9twc3fm8\f001.exe'); TerminateProcessByName('c:\windows\system32\xm9twc3fm8\eoo1.exe'); TerminateProcessByName('c:\windows\system32\diptsclib.exe'); TerminateProcessByName('c:\windows\cidrive32.exe'); TerminateProcessByName('c:\windows\system32\xm9twc3fm8\b7878.exe'); TerminateProcessByName('c:\windows\temp\7e7c104c.tmp'); TerminateProcessByName('c:\windows\temp\67f70763.tmp'); TerminateProcessByName('c:\windows\temp\59ec1d62.tmp'); TerminateProcessByName('c:\windows\temp\521b57b1.tmp'); TerminateProcessByName('c:\windows\temp\4e3a4355.tmp'); TerminateProcessByName('c:\windows\temp\4a4a1200.tmp'); TerminateProcessByName('c:\windows\temp\466a7da4.tmp'); TerminateProcessByName('c:\windows\temp\3cb64c14.tmp'); TerminateProcessByName('c:\windows\temp\34e50663.tmp'); TerminateProcessByName('c:\windows\temp\2dae7cf0.tmp'); TerminateProcessByName('c:\windows\temp\2d8b64c7.tmp'); TerminateProcessByName('c:\windows\temp\25ba1f16.tmp'); TerminateProcessByName('c:\docume~1\a7e4~1.mic\locals~1\temp\208.exe'); TerminateProcessByName('c:\windows\temp\205e25f7.tmp'); TerminateProcessByName('c:\windows\system32\187109.exe'); SetServiceStart('37C4756F', 4); SetServiceStart('Wihkep32', 4); SetServiceStart('vsrfr', 4); SetServiceStart('Udhe', 4); SetServiceStart('Index', 4); SetServiceStart('MediaCumdkp', 4); SetServiceStart('Storm DDOS Service', 4); SetServiceStart('bd', 4); StopService('37C4756F'); StopService('xzzoip'); StopService('Wihkep32'); StopService('vsrfr'); StopService('Udhe'); StopService('Index'); StopService('MediaCumdkp'); StopService('Storm DDOS Service'); StopService('bd'); QuarantineFile('C:\WINDOWS\ctfmon.exe',''); QuarantineFile('C:\WINDOWS\system32\msvmcls64.exe',''); QuarantineFile('C:\WINDOWS\system32\diptsvstart.dll',''); QuarantineFile('C:\RECYCLER\S-1-5-21-3308367247-3611362674-787024376-8655\syscr.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\37C4756F.sys',''); QuarantineFile('C:\WINDOWS\system32\Wiyselp32.exe',''); QuarantineFile('C:\WINDOWS\system32\Wihke32.exe',''); QuarantineFile('C:\WINDOWS\system32\Antidegmq.exe',''); QuarantineFile('C:\WINDOWS\TEMP\60151468.dll',''); QuarantineFile('C:\WINDOWS\TEMP\80111500.dll',''); QuarantineFile('C:\WINDOWS\TEMP\CBGame.dll',''); QuarantineFile('c:\windows\system32\xzzoip.exe',''); QuarantineFile('c:\program files\microsoft office\svchost.exe',''); QuarantineFile('c:\windows\system32\xm9twc3fm8\j002.exe',''); QuarantineFile('c:\windows\system32\xm9twc3fm8\f001.exe',''); QuarantineFile('c:\windows\system32\xm9twc3fm8\eoo1.exe',''); QuarantineFile('c:\windows\cidrive32.exe',''); QuarantineFile('c:\windows\system32\xm9twc3fm8\b7878.exe',''); QuarantineFile('c:\windows\temp\7e7c104c.tmp',''); QuarantineFile('c:\windows\temp\67f70763.tmp',''); QuarantineFile('c:\windows\temp\59ec1d62.tmp',''); QuarantineFile('c:\windows\temp\521b57b1.tmp',''); QuarantineFile('c:\windows\temp\4e3a4355.tmp',''); QuarantineFile('c:\windows\temp\4a4a1200.tmp',''); QuarantineFile('c:\windows\temp\466a7da4.tmp',''); QuarantineFile('c:\windows\temp\3cb64c14.tmp',''); QuarantineFile('c:\windows\temp\34e50663.tmp',''); QuarantineFile('c:\windows\temp\2dae7cf0.tmp',''); QuarantineFile('c:\windows\temp\2d8b64c7.tmp',''); QuarantineFile('c:\windows\temp\25ba1f16.tmp',''); QuarantineFile('c:\docume~1\a7e4~1.mic\locals~1\temp\208.exe',''); QuarantineFile('c:\windows\temp\205e25f7.tmp',''); QuarantineFile('c:\windows\system32\187109.exe',''); DeleteFile('c:\windows\temp\205e25f7.tmp'); DeleteFile('c:\docume~1\a7e4~1.mic\locals~1\temp\208.exe'); DeleteFile('c:\windows\temp\3cb64c14.tmp'); DeleteFile('c:\windows\temp\4a4a1200.tmp'); DeleteFile('c:\windows\system32\diptsclib.exe'); DeleteFile('c:\program files\microsoft office\svchost.exe'); DeleteFile('C:\WINDOWS\system32\XM9TWC3FM8\B7878.exe'); DeleteFile('C:\WINDOWS\system32\XM9TWC3FM8\eoo1.exe'); DeleteFile('C:\WINDOWS\system32\XM9TWC3FM8\F001.exe'); DeleteFile('C:\WINDOWS\system32\XM9TWC3FM8\J002.exe'); DeleteFile('C:\WINDOWS\TEMP\CBGame.dll'); DeleteFile('C:\WINDOWS\TEMP\80111500.dll'); DeleteFile('C:\WINDOWS\TEMP\7e7c104c.tmp'); DeleteFile('C:\WINDOWS\TEMP\67f70763.tmp'); DeleteFile('C:\WINDOWS\TEMP\60151468.dll'); DeleteFile('C:\WINDOWS\TEMP\59ec1d62.tmp'); DeleteFile('C:\WINDOWS\TEMP\521b57b1.tmp'); DeleteFile('C:\WINDOWS\TEMP\4e3a4355.tmp'); DeleteFile('C:\WINDOWS\TEMP\466a7da4.tmp'); DeleteFile('C:\WINDOWS\TEMP\34e50663.tmp'); DeleteFile('C:\WINDOWS\TEMP\2dae7cf0.tmp'); DeleteFile('C:\WINDOWS\TEMP\2d8b64c7.tmp'); DeleteFile('C:\WINDOWS\TEMP\25ba1f16.tmp'); DeleteFile('C:\WINDOWS\system32\xzzoip.exe'); DeleteFile('C:\WINDOWS\system32\187109.exe'); DeleteFile('C:\WINDOWS\system32\Antidegmq.exe'); DeleteFile('C:\WINDOWS\system32\Wihke32.exe'); DeleteFile('C:\WINDOWS\system32\Wiyselp32.exe'); DeleteFile('C:\WINDOWS\system32\drivers\37C4756F.sys'); DeleteFile('C:\RECYCLER\S-1-5-21-3308367247-3611362674-787024376-8655\syscr.exe'); DeleteFile('C:\WINDOWS\cidrive32.exe'); DeleteFile('C:\WINDOWS\system32\diptsvstart.dll'); DeleteFile('C:\WINDOWS\system32\msvmcls64.exe'); DeleteFile('C:\WINDOWS\ctfmon.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\DipSrv\Parameters','ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MS Virtual CLS'); RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{E06E2E99-0AA1-11D4-ABA6-0060082AA75C}'); DeleteService('37C4756F'); DeleteService('Wiyselp32'); DeleteService('xzzoip'); DeleteService('Wihkep32'); DeleteService('vsrfr'); DeleteService('Udhe'); DeleteService('Index'); DeleteService('MediaCumdkp'); DeleteService('Storm DDOS Service'); DeleteService('bd'); BC_ImportAll; ExecuteSysClean; BC_Activate; Executerepair(11); Executerepair(13); RebootWindows(true); end.
После выполнить:
- включите антивирус и файрволл;
- подключите ПК к интернету/локалке;
- закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
Большое спасибо все сделал
Результат загрузки
Файл сохранён как 100514_105112_virus_4becf2e08ca90.zip
Размер файла 2631868
MD5 99465592299ffced4f20c7e4f5a2e2c7
Файл закачан, спасибо!
вот логи
Да кстати почему-то появился в раскладке клавиатуры китайский язык который отключить не удается((
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правиламКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\ctfmon.exe',''); QuarantineFile('C:\WINDOWS\system32\appmgmt.dll',''); QuarantineFile('C:\Program Files\Microsoft Office\svchost.exe',''); QuarantineFile('C:\WINDOWS\system32\6to4.dll',''); QuarantineFile('C:\WINDOWS\tinlater.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\3FA67E62.sys',''); QuarantineFile('C:\WINDOWS\system32\MSImg32.dll',''); QuarantineFile('C:\WINDOWS\system32\xzzoip.exe',''); DelCLSID('LMS03AB-B707-11d2-9CBD-0000F87A369E'); DeleteFile('C:\WINDOWS\system32\6to4.dll'); DeleteFile('C:\Program Files\Microsoft Office\svchost.exe'); DeleteFile('C:\WINDOWS\ctfmon.exe'); DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\1MGGW48I\App[1].zip'); DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\1MGGW48I\App[2].zip'); DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\1MGGW48I\App[3].zip'); DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\ORFIKYXH\App[1].zip'); DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\R28JQX5Z\App[1].zip'); DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\R28JQX5Z\App[2].zip'); DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\U50XR1Y3\App[1].zip'); DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\U50XR1Y3\App[2].zip'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\6to4\Parameters','ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteRepair(9); RebootWindows(true); end.
Результат загрузки
Файл сохранён как 100515_100851_virus_4bee3a737fa99.zip
Размер файла 586816
MD5 a58bdfe5dda33b123091d40ca2225577
Файл закачан, спасибо!
Закройте все программы, выполните скрипт в AVZ:После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правиламКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('Ms-tl_Srv'); DeleteService('xzzoip'); DeleteFile('C:\WINDOWS\system32\MSImg32.dll'); DeleteFile('C:\WINDOWS\tinlater.exe'); DeleteFile('C:\WINDOWS\system32\appmgmt.dll'); DeleteFile('C:\WINDOWS\ctfmon.exe'); DeleteFile('C:\WINDOWS\system32\xzzoip.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; ExecuteRepair(9); RebootWindows(true); end.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 114
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\localservice\local settings\temporary internet files\content.ie5\r28jqx5z\app[2].zip - Net-Worm.Win32.Kolab.iim ( BitDefender: Trojan.Generic.KD.11201, AVAST4: Win32:Siveras-B [Expl] )
- c:\documents and settings\localservice\local settings\temporary internet files\content.ie5\1mggw48i\app[1].zip - Net-Worm.Win32.Kolab.iim ( BitDefender: Trojan.Generic.KD.11201, AVAST4: Win32:Siveras-B [Expl] )
- c:\documents and settings\администратор.microsof-81d400\local settings\temp\121156.exe - Trojan.Win32.Agent.eave ( BitDefender: Gen:Trojan.Heur.GZ.bm0@b4fe!djb )
- c:\documents and settings\администратор.microsof-81d400\local settings\temp\187109.exe - Trojan-DDoS.Win32.Agent.iz ( DrWEB: DDoS.Storm.19, BitDefender: Trojan.Daromst.A, NOD32: Win32/TrojanDownloader.Agent.OQT trojan, AVAST4: Win32:Trojan-gen )
- c:\documents and settings\администратор.microsof-81d400\local settings\temp\2022468.exe - Trojan-DDoS.Win32.Agent.iz ( DrWEB: DDoS.Storm.19, BitDefender: Trojan.Daromst.A, NOD32: Win32/TrojanDownloader.Agent.OQT trojan, AVAST4: Win32:Trojan-gen )
- c:\docume~1\a7e4~1.mic\locals~1\temp\208.exe - Email-Flooder.Win32.Agent.cu ( DrWEB: Trojan.DownLoad.35732, BitDefender: Trojan.Spammer.ACB, AVAST4: Win32:Malware-gen )
- c:\program files\microsoft office\svchost.exe - Trojan.Win32.Swisyn.afem ( AVAST4: Win32:Malware-gen )
- c:\recycler\s-1-5-21-3308367247-3611362674-787024376-8655\syscr.exe - P2P-Worm.Win32.Palevo.aepj ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.Generic.239673, AVAST4: Win32:Malware-gen )
- c:\windows\cidrive32.exe - Backdoor.Win32.IRCBot.pby ( DrWEB: Trojan.DownLoad.35732, BitDefender: Trojan.KillAV.RZ, AVAST4: Win32:Malware-gen )
- c:\windows\system32\appmgmt.dll - Trojan-Downloader.Win32.Agent.dqhi ( DrWEB: Win32.HLLW.Autoruner.20845, BitDefender: Worm.Generic.243659, AVAST4: Win32:Malware-gen )
- c:\windows\system32\diptsvstart.dll - Trojan-Downloader.Win32.Agent.dqbs ( AVAST4: Win32:Malware-gen )
- c:\windows\system32\drivers\37c4756f.sys - Rootkit.Win32.Agent.bfyj
- c:\windows\system32\msimg32.dll - Trojan-GameThief.Win32.OnLineGames.bnix ( DrWEB: Trojan.PWS.Wsgame.20551 )
- c:\windows\system32\msimg32.dll - Trojan-GameThief.Win32.OnLineGames.wszt ( AVAST4: Win32:OnLineGames-FRW [Trj] )
- c:\windows\system32\msvmcls64.exe - Email-Flooder.Win32.Agent.cu ( DrWEB: Trojan.DownLoad.35732, BitDefender: Trojan.Spammer.ACB, AVAST4: Win32:Malware-gen )
- c:\windows\system32\wiyselp32.exe - Backdoor.Win32.Agent.auve ( DrWEB: BackDoor.Darkshell.96, AVAST4: Win32:Agent-AERY [Trj] )
- c:\windows\system32\xm9twc3fm8\b7878.exe - Trojan.Win32.Scar.ceis ( DrWEB: Trojan.DownLoad.64038, BitDefender: Trojan.Rincux.AW, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\xm9twc3fm8\j002.exe - Trojan.Win32.Scar.cfdd ( DrWEB: Trojan.Siggen1.29334, BitDefender: Trojan.Rincux.AW, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\xzzoip.exe - Backdoor.Win32.Hupigon.kwnp ( DrWEB: Trojan.Siggen1.11135, BitDefender: Rootkit.35843, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\187109.exe - Trojan-DDoS.Win32.Agent.iz ( DrWEB: DDoS.Storm.19, BitDefender: Trojan.Daromst.A, NOD32: Win32/TrojanDownloader.Agent.OQT trojan, AVAST4: Win32:Trojan-gen )
- c:\windows\temp\170105125.dll - Trojan-GameThief.Win32.Magania.dfjq ( BitDefender: Trojan.Generic.3876617, AVAST4: Win32:Lolyda-B [Trj] )
- c:\windows\temp\3cb64c14.tmp - Trojan-GameThief.Win32.WOW.ipc ( DrWEB: archive: Trojan.Packed.191, BitDefender: Trojan.Generic.3874557, AVAST4: Win32:Lolyda-D [Trj] )
- c:\windows\temp\60151468.dll - Trojan-GameThief.Win32.Magania.depi ( DrWEB: Trojan.PWS.Wsgame.19323, BitDefender: Trojan.Generic.3837236, AVAST4: Win32:Lolyda-C [Trj] )
Уважаемый(ая) ЦМХГ, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.