Помогите, пжлст, со вторым компом тоже все грустно.
Помогите, пжлст, со вторым компом тоже все грустно.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin DeleteFile('C:\WINDOWS\system32\53.exe'); DeleteFile('C:\WINDOWS\system32\23.exe'); DeleteFile('C:\WINDOWS\system32\14.exe'); DeleteFile('C:\WINDOWS\system32\21.exe'); DeleteFile('C:\WINDOWS\system32\36.exe'); DeleteFile('C:\WINDOWS\system32\78.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; ExecuteRepair(6); ExecuteRepair(8); RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=78221).
Сообщите, какие проблемы остались?
I am not young enough to know everything...
Карантин отправлен.
После перезагрузки в диспетчере задач были обнаружены jjdrive32.exe и scdll.exe.
Сделайте новый комплект логов.
Только не отключайте перед этим зловредные процессы в Диспетчере.
I am not young enough to know everything...
Вот они, логи.
Во временных инетовских файлах еще много чудес, но вот они, по-моему, нигде не отображаются...
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\jjdrive32.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-7936755638-3918227871-816079052-8109\playncr.exe,explorer.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-7936755638-3918227871-816079052-8109\playncr.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-7936755638-3918227871-816079052-8109\playncr.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-7936755638-3918227871-816079052-8109\playncr.exe,explorer.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P'); DeleteFile('C:\WINDOWS\jjdrive32.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + лог МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Bratez,
удаление временных файлов ни через свойства обозревтеля, ни через чистилку (я использую CCleaner) ни к чему не привело - в Temporary Internet Files полно всякой бяки, которая удаляется только руками, но потом появляется вновь. Причем замечена она только в следующих местах: C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\5HKEN603, C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\5LG8E09N, C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\LDP8YK9J, C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\SIZ6NJLG.
А в папке C:\Documents and Settings\Кирилл\Local Settings\Temp замечены екзешники с числовыми именами, по типу 009.ехе, 058.ехе и пр. Они тоже удаляются только руками, но потом появляются, плюс прописываются в автозагрузку.
Рекомендации из сообщения №6 выполнили? Где результат?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
thyrex,
карантин отправила, вот логи.
Удалите все найденное в МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Сделано.
Выполните скрипт
Сделайте новый лог virusinfo_syscheck.zip и лог MBAMКод:begin Executerepair(13); RebootWindows(true); end.
Новые логи.
Совет такой же, как и во второй Вашей теме - установка обновлений
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 51
- В ходе лечения обнаружены вредоносные программы:
- c:\recycler\s-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe - Trojan.Win32.VB.afcl ( DrWEB: Trojan.DownLoad.35732, BitDefender: Trojan.Generic.3972450, NOD32: Win32/Agent.HXW trojan, AVAST4: Win32:Trojan-gen )
- c:\recycler\s-1-5-21-1032609137-1469192920-701623412-2054\playncr.exe - P2P-Worm.Win32.Palevo.ahiy ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Worm.Generic.246995, NOD32: Win32/Peerfrag.FD worm )
- c:\recycler\s-1-5-21-7936755638-3918227871-816079052-8109\playncr.exe - Trojan.Win32.VB.afct ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Worm.Generic.242021, AVAST4: Win32:Trojan-gen )
- c:\windows\jjdrive32.exe - Trojan.Win32.VBKrypt.og ( DrWEB: Trojan.DownLoad.35732, BitDefender: Trojan.Generic.3830880, AVAST4: Win32:Malware-gen )
- c:\windows\system32\14.exe - Backdoor.Win32.Agent.auxp ( DrWEB: Trojan.Packed.20210, AVAST4: Win32:VB-PHF [Drp] )
- c:\windows\system32\17.scr - Backdoor.Win32.IRCBot.pcv ( DrWEB: Trojan.Packed.20153, BitDefender: Gen:Trojan.Heur.sm0@dH2SfFjO, AVAST4: Win32:Malware-gen )
- c:\windows\system32\21.exe - Backdoor.Win32.Agent.auxp ( DrWEB: Trojan.Packed.20210, AVAST4: Win32:VB-PHF [Drp] )
- c:\windows\system32\23.exe - Trojan.Win32.Scar.cdwf ( DrWEB: Trojan.Packed.20211, BitDefender: Trojan.Generic.3876671, AVAST4: Win32:Malware-gen )
- c:\windows\system32\36.exe - Backdoor.Win32.Agent.auxp ( DrWEB: Trojan.Packed.20210, AVAST4: Win32:VB-PHF [Drp] )
- c:\windows\system32\41.exe - Backdoor.Win32.Agent.auxp ( DrWEB: Trojan.Packed.20210, AVAST4: Win32:VB-PHF [Drp] )
- c:\windows\system32\41.scr - Backdoor.Win32.IRCBot.pcv ( DrWEB: Trojan.Packed.20153, BitDefender: Gen:Trojan.Heur.sm0@dH2SfFjO, AVAST4: Win32:Malware-gen )
- c:\windows\system32\43.scr - Backdoor.Win32.IRCBot.pcv ( DrWEB: Trojan.Packed.20153, BitDefender: Gen:Trojan.Heur.sm0@dH2SfFjO, AVAST4: Win32:Malware-gen )
- c:\windows\system32\53.exe - Trojan.Win32.Scar.cdwf ( DrWEB: Trojan.Packed.20211, BitDefender: Trojan.Generic.3876671, AVAST4: Win32:Malware-gen )
- c:\windows\system32\54.scr - Backdoor.Win32.IRCBot.pcv ( DrWEB: Trojan.Packed.20153, BitDefender: Gen:Trojan.Heur.sm0@dH2SfFjO, AVAST4: Win32:Malware-gen )
- c:\windows\system32\57.exe - Backdoor.Win32.Agent.auxp ( DrWEB: Trojan.Packed.20210, AVAST4: Win32:VB-PHF [Drp] )
- c:\windows\system32\62.scr - Backdoor.Win32.IRCBot.pcv ( DrWEB: Trojan.Packed.20153, BitDefender: Gen:Trojan.Heur.sm0@dH2SfFjO, AVAST4: Win32:Malware-gen )
- c:\windows\system32\68.scr - Backdoor.Win32.IRCBot.pcv ( DrWEB: Trojan.Packed.20153, BitDefender: Gen:Trojan.Heur.sm0@dH2SfFjO, AVAST4: Win32:Malware-gen )
- c:\windows\system32\75.scr - Backdoor.Win32.IRCBot.pcv ( DrWEB: Trojan.Packed.20153, BitDefender: Gen:Trojan.Heur.sm0@dH2SfFjO, AVAST4: Win32:Malware-gen )
- c:\windows\system32\76.scr - Backdoor.Win32.IRCBot.pcv ( DrWEB: Trojan.Packed.20153, BitDefender: Gen:Trojan.Heur.sm0@dH2SfFjO, AVAST4: Win32:Malware-gen )
- c:\windows\system32\78.exe - Backdoor.Win32.Agent.auxp ( DrWEB: Trojan.Packed.20210, AVAST4: Win32:VB-PHF [Drp] )
Уважаемый(ая) shem_ar, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.