Показано с 1 по 9 из 9.

HELP злой вирус ! (заявка № 80803)

  1. #1
    Junior Member Репутация
    Регистрация
    08.06.2010
    Сообщений
    30
    Вес репутации
    24

    Exclamation HELP злой вирус !

    Дело было так постоянно самостоятельно в IE открываются какие то сайты и предлогается чтото установить , вчера включил комп как загрузился рабочий стол обнаружил кучу ярлыков непонятно кем и как установленных программ ,и тут же комп перезагрузился . Загрузил его с 20 раза так как при загрузке вылезал экран смерти и ребут. Безопасный режим не канает , постоянно вылезают какие то ошибки .
    не один файл с рабочего стола не запускается ошибка -
    Windows Script Host
    Ошибка(Синтаксическая ошибка в имени файла, имени папки или метке тома.) при загрузке сценария C:\Program Files\????\IEAK\Winrar\cmd.jse
    скрины прилагаются , очень надеюсь на помощ , комп даже выключать боюсь вдруг не включу больше (

  2. Реклама
     

  3. #2
    Junior Member Репутация
    Регистрация
    08.06.2010
    Сообщений
    30
    Вес репутации
    24
    CureIt не запускатся просто все зависает(

  4. #3
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,523
    Вес репутации
    2915
    Без выполнения правил сказать что-то трудно
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  5. #4
    Junior Member Репутация
    Регистрация
    08.06.2010
    Сообщений
    30
    Вес репутации
    24
    HijackThis не запускается
    остальные логи вот

    так же хочу добавить - не открывается файл hosts папки почему то стали с расширением exe
    Очень надеюсь на вашу помощь так как сам уже почти все перепробовал(
    надеюсь тема оформлена правильно?
    Последний раз редактировалось tack3r; 12.06.2010 в 16:54.

  6. #5
    Junior Member Репутация
    Регистрация
    08.06.2010
    Сообщений
    30
    Вес репутации
    24
    Или мб найдется человек который повозится со мной и если все будет ладом работать завтра закину на кошель денег и отблагодарю!

  7. #6
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,523
    Вес репутации
    2915
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\recycler.exe','');
     QuarantineFile('D:\autorun.inf','');
     QuarantineFile('D:\SafeDrv.exe','');
     QuarantineFile('C:\autorun.inf','');
     QuarantineFile('C:\SafeDrv.exe','');
     QuarantineFile('C:\DOCUME~1\9AB1~1\LOCALS~1\Temp\111292812.dll','');
     QuarantineFile('C:\Program Files\Internet Explorer\Mfc42.tdm','');
     QuarantineFile('C:\WINDOWS\system32\WinHelp32.exe','');
     QuarantineFile('C:\System Volume Information\_restore{46BF32D0-EB3E-42B9-A1C9-D5401EE19805}\RP5\A0010414.exe','');
     QuarantineFile('C:\Program Files\fh.exe','');
     QuarantineFile('C:\Program Files\360\winhelp32.exe','');
     QuarantineFile('C:\Documents and Settings\Ангел\Local Settings\Temp\cd1364500.exe','');
     QuarantineFile('C:\Documents and Settings\Ангел\Local Settings\Temp\81338015.dll','');
     QuarantineFile('C:\Documents and Settings\Ангел\Local Settings\Temp\71333453.dll','');
     QuarantineFile('C:\Documents and Settings\Ангел\Local Settings\Temp\71293843.dll','');
     QuarantineFile('C:\Documents and Settings\Ангел\Local Settings\Temp\261304015.dll','');
     QuarantineFile('C:\Documents and Settings\Ангел\Local Settings\Temp\171345609.dll','');
     QuarantineFile('C:\Documents and Settings\Ангел\Local Settings\Temp\171303921.dll','');
     QuarantineFile('C:\Documents and Settings\Ангел\Local Settings\Temp\121334781.dll','');
     QuarantineFile('C:\Documents and Settings\Ангел\Local Settings\Temp\121294515.dll','');
     QuarantineFile('C:\Documents and Settings\Ангел\Local Settings\Temp\11341093.dll','');
     QuarantineFile('C:\Documents and Settings\Ангел\Local Settings\Temp\11300250.dll','');
     QuarantineFile('C:\1213375.exe','');
     DelBHO('{28757672-E0AD-42C3-9716-454CC3B1A181}');
     QuarantineFile('c:\windows\kai\smss.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\wuaclt.exe','');
     QuarantineFile('C:\WINDOWS\system32\E2B461\EDE62B.EXE','');
     QuarantineFile('C:\WINDOWS\system32\41.exe','');
     QuarantineFile('C:\WINDOWS\ali.exe','');
     QuarantineFile('C:\WINDOWS\Temp\tmp.exe','');
     QuarantineFile('C:\Program Files\SiSi9012\services.exe','');
     QuarantineFile('C:\Program Files\Messenger\msseces.exe','');
     QuarantineFile('C:\Documents and Settings\Ангел\Главное меню\Программы\Автозагрузка\Coopen???.lnk','');
     QuarantineFile('C:\Documents and Settings\Ангел\Главное меню\Программы\Автозагрузка\їбОТТфАЦєР.exe','');
     QuarantineFile('C:\Documents and Settings\Ангел\Application Data\Microsoft\Internet Explorer\Quick Launch\ПРОИГРЫВАТЕЛЬ WINDOWS MEDIA.yfbgy','');
     QuarantineFile('C:\Documents and Settings\Ангел\Application Data\Microsoft\Internet Explorer\Quick Launch\ЗАПУСТИТЬ ОБОЗРЕВАТЕЛЬ INTERNET EXPLORER.yfbgy','');
     QuarantineFile('C:\Documents and Settings\Ангел\Application Data\Microsoft\Internet Explorer\Quick Launch\ЗАПУСКАТР.yfbgy','');
     QuarantineFile('C:\Documents and Settings\Ангел\Application Data\Microsoft\Internet Explorer\Quick Launch\ЖФ¶Ї INTERNET EXPLORER ДЇААЖЧ.yfbgy','');
     QuarantineFile('C:\Documents and Settings\Ангел\Application Data\Microsoft\Internet Explorer\Quick Launch\µTORRENT.yfbgy','');
     QuarantineFile('C:\Documents and Settings\Ангел\Application Data\Microsoft\Internet Explorer\Quick Launch\WINAMP.yfbgy','');
     QuarantineFile('C:\Documents and Settings\Ангел\Application Data\Microsoft\Internet Explorer\Quick Launch\QIP INFIUM.yfbgy','');
     QuarantineFile('C:\Documents and Settings\Ангел\Application Data\Microsoft\Internet Explorer\Quick Launch\QIP 2005.yfbgy','');
     QuarantineFile('C:\Documents and Settings\Ангел\Application Data\Microsoft\Internet Explorer\Quick Launch\OPERA.yfbgy','');
     QuarantineFile('C:\Documents and Settings\Ангел\Application Data\Microsoft\Internet Explorer\Quick Launch\MOZILLA FIREFOX.yfbgy','');
     QuarantineFile('C:\Documents and Settings\Ангел\Application Data\Microsoft\Internet Explorer\Quick Launch\INTERNET EXPLORER.yfbgy','');
     QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\system.vbe','');
     QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\iesearch.vbe','');
     QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\iecollection.vbe','');
     QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\ie.vbe','');
     QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\dlldll.vbe','');
     QuarantineFile('C:\WINDOWS\system32\svchoste.exe','');
     DeleteService('Power');
     DeleteService('OSS');
     DeleteService('Ms-tl_Srv');
     SetServiceStart('kernel', 4);
     DeleteService('kernel');
     QuarantineFile('C:\WINDOWS\system32\PisI.dll','');
     QuarantineFile('C:\WINDOWS\UoDo\game.dll','');
     QuarantineFile('C:\WINDOWS\system32\mty6459.dll','');
     QuarantineFile('C:\WINDOWS\system32\ifqku.dll','');
     QuarantineFile('C:\WINDOWS\System32\geodc.dll','');
     QuarantineFile('C:\WINDOWS\system32\geod2.dll','');
     QuarantineFile('C:\WINDOWS\System32\fgdyu.dll','');
     QuarantineFile('C:\WINDOWS\system32\2bco.dll','');
     QuarantineFile('C:\WINDOWS\system32\251e.dll','');
     QuarantineFile('C:\WINDOWS\bho\xunlei3,222293.dll','');
     QuarantineFile('C:\DOCUME~1\9AB1~1\LOCALS~1\Temp\41311609.dll','');
     TerminateProcessByName('c:\windows\mfc.exe');
     QuarantineFile('c:\windows\mfc.exe','');
     TerminateProcessByName('c:\windows\system32\kernel.exe');
     QuarantineFile('c:\windows\system32\kernel.exe','');
     QuarantineFile('c:\windows\system32\ctfmon.exe','');
     TerminateProcessByName('c:\windows\system32\bddd.exe');
     QuarantineFile('c:\windows\system32\bddd.exe','');
     TerminateProcessByName('c:\program files\a17.exe');
     TerminateProcessByName('c:\program files\a01.exe');
     QuarantineFile('c:\program files\a17.exe','');
     QuarantineFile('c:\program files\a01.exe','');
     DeleteFile('c:\program files\a01.exe');
     DeleteFile('c:\program files\a17.exe');
     DeleteFile('c:\windows\system32\bddd.exe');
     DeleteFile('c:\windows\system32\kernel.exe');
     DeleteFile('c:\windows\mfc.exe');
     DeleteFile('C:\DOCUME~1\9AB1~1\LOCALS~1\Temp\41311609.dll');
     DeleteFile('C:\WINDOWS\bho\xunlei3,222293.dll');
     DeleteFile('C:\WINDOWS\System32\fgdyu.dll');
     DeleteFile('C:\WINDOWS\system32\ifqku.dll');
     DeleteFile('C:\WINDOWS\system32\svchoste.exe');
     DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\dlldll.vbe');
     DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\ie.vbe');
     DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\iecollection.vbe');
     DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\iesearch.vbe');
     DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\system.vbe');
     DeleteFile('C:\Documents and Settings\Ангел\Application Data\Microsoft\Internet Explorer\Quick Launch\INTERNET EXPLORER.yfbgy');
     DeleteFile('C:\Documents and Settings\Ангел\Application Data\Microsoft\Internet Explorer\Quick Launch\MOZILLA FIREFOX.yfbgy');
     DeleteFile('C:\Documents and Settings\Ангел\Application Data\Microsoft\Internet Explorer\Quick Launch\OPERA.yfbgy');
     DeleteFile('C:\Documents and Settings\Ангел\Application Data\Microsoft\Internet Explorer\Quick Launch\QIP 2005.yfbgy');
     DeleteFile('C:\Documents and Settings\Ангел\Application Data\Microsoft\Internet Explorer\Quick Launch\QIP IN-FIUM.yfbgy');
     DeleteFile('C:\Documents and Settings\Ангел\Application Data\Microsoft\Internet Explorer\Quick Launch\WINAMP.yfbgy');
     DeleteFile('C:\Documents and Settings\Ангел\Application Data\Microsoft\Internet Explorer\Quick Launch\µTORRENT.yfbgy');
     DeleteFile('C:\Documents and Settings\Ангел\Application Data\Microsoft\Internet Explorer\Quick Launch\ЖФ¶Ї INTERNET EXPLORER ДЇААЖЧ.yfbgy');
     DeleteFile('C:\Documents and Settings\Ангел\Application Data\Microsoft\Internet Explorer\Quick Launch\ЗАПУСКАТР.yfbgy');
     DeleteFile('C:\Documents and Settings\Ангел\Application Data\Microsoft\Internet Explorer\Quick Launch\ЗАПУСТИТЬ ОБОЗРЕВАТЕЛЬ INTERNET EXPLORER.yfbgy');
     DeleteFile('C:\Documents and Settings\Ангел\Application Data\Microsoft\Internet Explorer\Quick Launch\ПРОИГРЫВАТЕЛЬ WINDOWS MEDIA.yfbgy');
     DeleteFile('C:\Documents and Settings\Ангел\Главное меню\Программы\Автозагрузка\Coopen???.lnk');
     DeleteFile('C:\Program Files\Messenger\msseces.exe');
     DeleteFile('C:\Program Files\SiSi9012\services.exe');
     DeleteFile('C:\WINDOWS\Temp\tmp.exe');
     DeleteFile('C:\WINDOWS\ali.exe');
     DeleteFile('C:\WINDOWS\system32\41.exe');
     DeleteFile('C:\WINDOWS\system32\E2B461\EDE62B.EXE');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\OSS','EventMessageFile');
     DeleteFile('C:\WINDOWS\system32\drivers\wuaclt.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wuaclt.exe');
     DeleteFile('c:\windows\kai\smss.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','KAV');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','KAVStarts');
     DeleteFile('C:\1213375.exe');
     DeleteFile('C:\Documents and Settings\Ангел\Local Settings\Temp\11300250.dll');
     DeleteFile('C:\Documents and Settings\Ангел\Local Settings\Temp\11341093.dll');
     DeleteFile('C:\Documents and Settings\Ангел\Local Settings\Temp\121294515.dll');
     DeleteFile('C:\Documents and Settings\Ангел\Local Settings\Temp\121334781.dll');
     DeleteFile('C:\Documents and Settings\Ангел\Local Settings\Temp\171303921.dll');
     DeleteFile('C:\Documents and Settings\Ангел\Local Settings\Temp\171345609.dll');
     DeleteFile('C:\Documents and Settings\Ангел\Local Settings\Temp\261304015.dll');
     DeleteFile('C:\Documents and Settings\Ангел\Local Settings\Temp\71293843.dll');
     DeleteFile('C:\Documents and Settings\Ангел\Local Settings\Temp\71333453.dll');
     DeleteFile('C:\Documents and Settings\Ангел\Local Settings\Temp\81298531.dll');
     DeleteFile('C:\Documents and Settings\Ангел\Local Settings\Temp\81338015.dll');
     DeleteFile('C:\Documents and Settings\Ангел\Local Settings\Temp\cd1364500.exe');
     DeleteFile('C:\Program Files\360\winhelp32.exe');
     DeleteFile('C:\Program Files\fh.exe');
     DeleteFile('C:\System Volume Information\_restore{46BF32D0-EB3E-42B9-A1C9-D5401EE19805}\RP5\A0010414.exe');
     DeleteFile('C:\WINDOWS\system32\WinHelp32.exe');
     DeleteFile('C:\DOCUME~1\9AB1~1\LOCALS~1\Temp\111292812.dll');
     DeleteFile('C:\SafeDrv.exe');
     DeleteFile('C:\autorun.inf');
     DeleteFile('D:\SafeDrv.exe');
     DeleteFile('D:\autorun.inf');
     DeleteFile('C:\recycler.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(9);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    У Вас bootkit
    Нужно загрузиться с консоли восстановления и выполнить команду fixmbr

    Сделайте новые логи
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  8. #7
    Junior Member Репутация
    Регистрация
    08.06.2010
    Сообщений
    30
    Вес репутации
    24
    карантин прислал .
    скрипты пока что выполняются как сделается выложу логи.
    А вот с консолью восстановления я что то туплю, мб сказывается 14 часов непрерывной борьбы с етой вирусней. Диска с виндовсом у меня нету . И как запустить ету консоль я что то не пойму.
    Последний раз редактировалось tack3r; 13.06.2010 в 01:44.

  9. #8
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,523
    Вес репутации
    2915
    Попробуйте http://www.esagelab.com/files/bootkit_remover.rar

    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\Program Files\Common Files\001.exe','');
     QuarantineFile('C:\System Volume Information\_restore{46BF32D0-EB3E-42B9-A1C9-D5401EE19805}\RP9\A0029995.exe','');
     QuarantineFile('C:\WINDOWS\system32\isapi.exe','');
     DeleteFile('C:\System Volume Information\_restore{46BF32D0-EB3E-42B9-A1C9-D5401EE19805}\RP9\A0029995.exe');
     DeleteFile('C:\System Volume Information\_restore{46BF32D0-EB3E-42B9-A1C9-D5401EE19805}\RP9\A0029994.exe');
     DeleteFile('C:\System Volume Information\_restore{46BF32D0-EB3E-42B9-A1C9-D5401EE19805}\RP8\A0024735.exe');
     DeleteFile('C:\System Volume Information\_restore{46BF32D0-EB3E-42B9-A1C9-D5401EE19805}\RP6\A0017649.exe');
     DeleteFile('C:\System Volume Information\_restore{46BF32D0-EB3E-42B9-A1C9-D5401EE19805}\RP6\A0010462.exe');
     DeleteFile('C:\System Volume Information\_restore{46BF32D0-EB3E-42B9-A1C9-D5401EE19805}\RP5\A0010454.exe');
     DeleteFile('C:\System Volume Information\_restore{46BF32D0-EB3E-42B9-A1C9-D5401EE19805}\RP5\A0008304.exe');
     DeleteFile('C:\System Volume Information\_restore{46BF32D0-EB3E-42B9-A1C9-D5401EE19805}\RP5\A0008279.exe');
     DeleteFile('C:\System Volume Information\_restore{46BF32D0-EB3E-42B9-A1C9-D5401EE19805}\RP5\A0008254.exe');
     DeleteFile('C:\System Volume Information\_restore{46BF32D0-EB3E-42B9-A1C9-D5401EE19805}\RP5\A0007253.exe');
     DeleteFile('C:\System Volume Information\_restore{46BF32D0-EB3E-42B9-A1C9-D5401EE19805}\RP5\A0007227.exe');
     DeleteFile('C:\System Volume Information\_restore{46BF32D0-EB3E-42B9-A1C9-D5401EE19805}\RP5\A0007202.exe');
     DeleteFile('C:\System Volume Information\_restore{46BF32D0-EB3E-42B9-A1C9-D5401EE19805}\RP5\A0007175.exe');
     DeleteFile('C:\System Volume Information\_restore{46BF32D0-EB3E-42B9-A1C9-D5401EE19805}\RP5\A0006175.exe');
     DeleteFile('C:\System Volume Information\_restore{46BF32D0-EB3E-42B9-A1C9-D5401EE19805}\RP5\A0005175.exe');
     DeleteFile('C:\System Volume Information\_restore{46BF32D0-EB3E-42B9-A1C9-D5401EE19805}\RP5\A0003175.exe');
     DeleteFile('C:\System Volume Information\_restore{46BF32D0-EB3E-42B9-A1C9-D5401EE19805}\RP5\A0002175.exe');
     DeleteFile('C:\Program Files\Common Files\001.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  10. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,536
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 141
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\program files\a01.exe - Trojan-GameThief.Win32.WOW.ipf ( DrWEB: Trojan.PWS.Gamania.26204, BitDefender: Trojan.Generic.4130510, AVAST4: Win32:Lolyda-B [Trj] )
      2. c:\program files\fh.exe - not-a-virus:AdWare.Win32.Iebar.ac ( DrWEB: Adware.IEBar.52, BitDefender: Dropped:Application.Generic.288504, NOD32: Win32/Adware.Zhongsou application )
      3. c:\program files\360\winhelp32.exe - Backdoor.Win32.Delf.vas ( DrWEB: BackDoor.Siggen.21538, BitDefender: Trojan.Generic.4130317, AVAST4: Win32:Delf-HBH [Trj] )
      4. c:\system volume information\_restore{46bf32d0-eb3e-42b9-a1c9-d5401ee19805}\rp5\a0010414.exe - not-a-virus:AdWare.Win32.Iebar.ac ( DrWEB: Adware.IEBar.52, BitDefender: Dropped:Application.Generic.288504, NOD32: Win32/Adware.Zhongsou application )


  • Уважаемый(ая) tack3r, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Злой вирус
      От Клювень в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 14.01.2011, 17:45
    2. Злой SMS вирус
      От Vlan в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 02.01.2010, 17:34
    3. Злой Вирус
      От Dim7777 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 28.11.2009, 13:55
    4. Злой вирус
      От xlim в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 05.05.2009, 01:47
    5. злой вирус
      От Aleksis в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 22.02.2009, 02:29

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01547 seconds with 20 queries