Помогите, пожалуйста. На компьютере явно можество всего левого.
Помогите, пожалуйста. На компьютере явно можество всего левого.
Последний раз редактировалось Е.Ш.; 24.02.2011 в 14:44.
Пофиксите в HiJack
Выполните скрипт в AVZКод:F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,D:\WINDOWS\system32\4e6e1702.exe,\\?\globalroot\systemroot\system32\BMF9kN0.exe, O4 - HKCU\..\Run: [dytupf] D:\WINDOWS\system32\xytz66q3.exe O4 - HKCU\..\Run: [lhxxtt2] D:\WINDOWS\system32\pqlbcxd6.exe
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('d:\docume~1\user\locals~1\temp\65541.exe'); TerminateProcessByName('d:\windows\system32\tuhuvut.exe'); TerminateProcessByName('d:\windows\system32\voogecouf.exe'); TerminateProcessByName('d:\windows\temp\wpv571275029417.exe'); TerminateProcessByName('d:\windows\temp\wpv961275058946.exe'); QuarantineFile('D:\WINDOWS\services.exe',''); QuarantineFile('D:\System Volume Information\_restore{3407D60F-8670-4A05-BF96-17924FC1B8AE}\RP3\A0000092.exe:userini.exe:$DATA',''); QuarantineFile('d:\windows\explorer.exe:userini.exe:$DATA',''); QuarantineFile('D:\WINDOWS\system32\userini.exe',''); QuarantineFile('D:\WINDOWS\system32\sysguard.exe',''); QuarantineFile('D:\WINDOWS\system32\gewoosuc.exe',''); QuarantineFile('D:\WINDOWS\system32\970njzz.exe',''); QuarantineFile('D:\WINDOWS\system32\4e6e1702.exe',''); QuarantineFile('D:\RECYCLER\S-1-5-21-2987542891-5732006964-395766197-7139\yv8g67.exe',''); QuarantineFile('D:\Documents and Settings\User\Application Data\vgdoqo.exe',''); QuarantineFile('D:\Documents and Settings\LocalService\Application Data\Microsoft\joutylunuk.exe',''); QuarantineFile('D:\WINDOWS\system32\sokoowadu.exe',''); QuarantineFile('d:\windows\temp\wpv961275058946.exe',''); QuarantineFile('d:\windows\temp\wpv571275029417.exe',''); QuarantineFile('d:\windows\system32\voogecouf.exe',''); QuarantineFile('d:\windows\system32\tuhuvut.exe',''); QuarantineFile('d:\docume~1\user\locals~1\temp\65541.exe',''); QuarantineFile('D:\DOCUME~1\User\LOCALS~1\Temp\0855.exe',''); DeleteFile('D:\DOCUME~1\User\LOCALS~1\Temp\0855.exe'); DeleteFile('d:\docume~1\user\locals~1\temp\65541.exe'); DeleteFile('d:\windows\system32\tuhuvut.exe'); DeleteFile('d:\windows\system32\voogecouf.exe'); DeleteFile('d:\windows\temp\wpv571275029417.exe'); DeleteFile('d:\windows\temp\wpv961275058946.exe'); DeleteFile('D:\WINDOWS\system32\sokoowadu.exe'); DeleteFile('D:\Documents and Settings\LocalService\Application Data\Microsoft\joutylunuk.exe'); DeleteFile('D:\Documents and Settings\User\Application Data\vgdoqo.exe'); DeleteFile('D:\Documents and Settings\User\ctfmon.exe,D:\Documents and Settings\User\Application Data\vgdoqo.exe,explorer.exe,D:\RECYCLER\S-1-5-21-2987542891-5732006964-395766197-7139\yv8g67.exe'); DeleteFile('D:\RECYCLER\S-1-5-21-2987542891-5732006964-395766197-7139\yv8g67.exe'); DeleteFile('D:\WINDOWS\system32\4e6e1702.exe'); DeleteFile('D:\WINDOWS\system32\970njzz.exe'); DeleteFile('D:\WINDOWS\system32\gewoosuc.exe'); DeleteFile('D:\WINDOWS\system32\sysguard.exe'); DeleteFile('D:\WINDOWS\system32\userini.exe'); DeleteFile('d:\windows\explorer.exe:userini.exe:$DATA'); DeleteFile('D:\System Volume Information\_restore{3407D60F-8670-4A05-BF96-17924FC1B8AE}\RP3\A0000092.exe:userini.exe:$DATA'); DeleteFile('D:\WINDOWS\services.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','kujov'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','kujov'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','lwxsty'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','nova'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','System Profiling'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); DeleteService('eyetookah'); DeleteService('bvi0o2ueyeky'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(20); RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Файл сохранён как 100528_210630_virus_4bfff816869c6.zip
Размер файла 3899947
MD5 7c214707b35834a4caff365c8f2c7d95
Логи делаю. Спасибо!
Новые логи
Последний раз редактировалось Е.Ш.; 09.08.2010 в 10:51.
упс забыл
Последний раз редактировалось Е.Ш.; 09.08.2010 в 10:51.
Отключите восстановление системы
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('d:\windows\temp\wpv011275029474.exe'); DeleteFile('d:\windows\explorer.exe:userini.exe:$DATA'); DeleteFile('d:\windows\explorer.exe:userini.exe'); DeleteFile('D:\System Volume Information\_restore{3407D60F-8670-4A05-BF96-17924FC1B8AE}\RP4\A0000158.exe:userini.exe:$DATA'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
при выполнениии скрипта комп подвис, после перезагрузки нод крикнул что нашел вирус. Сейчас попробую запустить скрипт еще раз.
Добавлено через 6 минут
В общем после выполнения скрипта комп подвисает на пустом рабочем столе (видимо во время перезагрузки, нет ни ярлыков ни строки строки "пуск").
Последний раз редактировалось Е.Ш.; 28.05.2010 в 23:34. Причина: Добавлено
У нас заметное ухудшение. При попытке открыть ваш сайт (или другой антивирусный, напр дрвеб) браузер закрывается. При запуске авз комп выключается. При попытке открыть видеофайл вылазит порнобаннер буквально пол секунды светится. Потом выскакивает ошибка и активное окно подвисает.
в безопасном режиме можно загрузиться?
В безопасном режиме загрузится можно, но при запуске авз комп все равно уходит в ребут.
попробуйте полиморфным AVZ - возьмите из подписи thyrex
Такой же результат.
1. Скачайте образ ERD Commander, запишите на болванку и загрузитесь с созданного диска
2. Пуск - Выполнить - erdregedit
3. Посмотрите в реестре:
ветка
параметрКод:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Содержимое этого параметра напишите в своем сообщенииКод:AppInit_DLLs
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
ERD говорит что система не установленна и реест подгрузить не удалось.
В реестре поле этого параметра пустое.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Прошелся диском касперского. Помогло - вот новые логи. Вкладка с восстановлением системы отсутствует. Диспетчер задач непашет, редактор реестра тоже.
Последний раз редактировалось Е.Ш.; 09.08.2010 в 10:51.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('D:\WINDOWS\DtcInstall.log:GhtTEv1BvmkMY8c2aM6+',''); DeleteFile('D:\WINDOWS\DtcInstall.log:GhtTEv1BvmkMY8c2aM6+'); QuarantineFile('D:\WINDOWS\system32\nYU8BYs.exe',''); DeleteFile('D:\WINDOWS\system32\nYU8BYs.exe'); QuarantineFile('D:\WINDOWS\system32\52WCo95.exe',''); DeleteFile('D:\WINDOWS\system32\52WCo95.exe'); QuarantineFile('D:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\QR51S8RB\ewmk[1].exe',''); DeleteFile('D:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\QR51S8RB\ewmk[1].exe'); QuarantineFile('D:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\NXTRKGWJ\dwwdkm[1].exe',''); DeleteFile('D:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\NXTRKGWJ\dwwdkm[1].exe'); QuarantineFile('D:\Documents and Settings\User\Local Settings\Temp\943.exe',''); DeleteFile('D:\Documents and Settings\User\Local Settings\Temp\943.exe'); QuarantineFile('D:\Documents and Settings\User\Local Settings\Temp\065.exe',''); DeleteFile('D:\Documents and Settings\User\Local Settings\Temp\065.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(6); ExecuteRepair(11); ExecuteRepair(12); ExecuteRepair(17); RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + лог http://virusinfo.info/showpost.php?p=457118&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Файл сохранён как 100602_020237_virus_4c05837d1fbfd.zip
Размер файла 5047
MD5 d9a7447c1347d4416bca1561123d2aff
новые логи.
мбам сканирует
Последний раз редактировалось Е.Ш.; 09.08.2010 в 10:51.
лог мбам
Последний раз редактировалось Е.Ш.; 09.08.2010 в 10:51.
1.удалите в MBAM
2.Выполните скрипт в AVZКод:Зараженные параметры в реестре: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\host (Malware.Trace) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\id (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Services\del (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken. Зараженные файлы: D:\Documents and Settings\User\Рабочий стол\avz4\Infected\2010-05-28\avz00001.dta (Trojan.Shiz) -> No action taken. D:\Documents and Settings\User\Рабочий стол\avz4\Infected\2010-05-28\avz00003.dta (Trojan.Shiz) -> No action taken. D:\Documents and Settings\User\Рабочий стол\avz4\Infected\2010-05-28\avz00004.dta (Trojan.Shiz) -> No action taken. D:\Documents and Settings\User\Рабочий стол\avz4\Infected\2010-05-28\avz00006.dta (Trojan.Shiz) -> No action taken. D:\Documents and Settings\User\Рабочий стол\avz4\Quarantine\2010-05-28\avz00001.dta (Trojan.Dropper) -> No action taken. D:\Documents and Settings\User\Рабочий стол\avz4\Quarantine\2010-05-28\avz00002.dta (Trojan.Dropper) -> No action taken. D:\Documents and Settings\User\Рабочий стол\avz4\Quarantine\2010-05-28\avz00005.dta (Trojan.Dropper) -> No action taken. D:\Documents and Settings\User\Рабочий стол\avz4\Quarantine\2010-05-28\avz00006.dta (Trojan.Dropper) -> No action taken. D:\Documents and Settings\User\Рабочий стол\avz4\Quarantine\2010-05-28\avz00009.dta (Adware.Agent) -> No action taken. D:\Documents and Settings\User\Рабочий стол\avz4\Quarantine\2010-05-28\avz00011.dta (Worm.Palevo) -> No action taken. D:\Documents and Settings\User\Рабочий стол\avz4\Quarantine\2010-05-28\avz00017.dta (Trojan.Dropper) -> No action taken. D:\Documents and Settings\User\Рабочий стол\avz4\Quarantine\2010-05-28\bcqr00017.dta (Worm.Palevo) -> No action taken. D:\Documents and Settings\User\Рабочий стол\avz4\Quarantine\2010-05-28\bcqr00018.dta (Worm.Palevo) -> No action taken. D:\Documents and Settings\User\Application Data\wiaservg.log (Malware.Trace) -> No action taken. D:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); SetAVZPMStatus(true); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); QuarantineFile('D:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\NXTRKGWJ\fewmdfe[1].exe',''); QuarantineFile('D:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\NXTRKGWJ\3[1].exe',''); QuarantineFile('D:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\7H4UU2FK\dewds1[1].exe',''); QuarantineFile('D:\WINDOWS\Prefetch\EXPLORER.EXE',''); QuarantineFile('D:\Documents and Settings\User\Local Settings\Temp\469.exe ',''); QuarantineFile('D:\Documents and Settings\User\Local Settings\Temp\933.exe',''); QuarantineFile('D:\Documents and Settings\User\Local Settings\Temp\~TM10.tmp',''); QuarantineFile('D:\Documents and Settings\User\Local Settings\Temp\~TM211.tmp',''); DeleteFile('D:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\NXTRKGWJ\fewmdfe[1].exe'); DeleteFile('D:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\NXTRKGWJ\3[1].exe'); DeleteFile('D:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\7H4UU2FK\dewds1[1].exe'); QuarantineFile('D:\WINDOWS\DtcInstall.log:GhtTEv1BvmkMY8c2aM6+',''); DeleteFile('D:\WINDOWS\DtcInstall.log:GhtTEv1BvmkMY8c2aM6+'); DeleteFile('D:\Documents and Settings\User\Local Settings\Temp\469.exe'); DeleteFile('D:\Documents and Settings\User\Local Settings\Temp\933.exe'); DeleteFileMask('D:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true); RegKeyStrParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', ''); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log
- Сделайте лог MBAM
Уважаемый(ая) Е.Ш., наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.