обнаружено: троянская программа Trojan-Dropper.Win32.Agent.ayqh Модуль: SVCHOST.EXE\svchoSt.exe
Касперский никак не может вылечить данный вирус, что делать? логи прикрепляю
обнаружено: троянская программа Trojan-Dropper.Win32.Agent.ayqh Модуль: SVCHOST.EXE\svchoSt.exe
Касперский никак не может вылечить данный вирус, что делать? логи прикрепляю
Отключите компьютер от интернета, а также отключите антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам (virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log) + лог mbamКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\RECYCLER\S-1-5-21-4104765463-8053439508-984484276-5913\nissan.exe',''); QuarantineFile('C:\WINDOWS\system32\0C68BJ1M\J001.exe',''); QuarantineFile('c:\windows\system32\sopasvstart.dll',''); DeleteService('u7t'); DeleteFile('c:\windows\system32\sopasvstart.dll'); DeleteFile('C:\WINDOWS\system32\0C68BJ1M\J001.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-4104765463-8053439508-984484276-5913\nissan.exe'); DeleteFile('C:\WINDOWS\system32\sopasvstart.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SopSrv\Parameters','ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'ImagePath', 'REG_EXPAND_SZ', '%SystemRoot%\System32\svchost.exe -k netsvcs'); RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\BITS', 'ImagePath', 'REG_EXPAND_SZ', '%SystemRoot%\System32\svchost.exe -k netsvcs'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('TSW',2,2,true); RebootWindows(true); end.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
вот приклепляю логи
Последний раз редактировалось sector; 20.07.2010 в 15:36.
1. удалите в MBAM
2.Выполните скрипт в AVZКод:Зараженные ключи в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken. Зараженные параметры в реестре: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell (Worm.AutoRun) -> No action taken. Объекты реестра заражены: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (C:\RECYCLER\S-1-5-21-1164073279-0720463678-968809053-4029\nissan.exe,explorer.exe) Good: (Explorer.exe) -> No action taken. Зараженные файлы: C:\TEMP\FengYun.dll (Backdoor.Xyligan) -> No action taken.
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OJ9JMU4X\8888[2].exe',''); QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\KUUVAAAR\H001[1].exe',''); QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\ESCF274Y\E001[1].exe',''); QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\ESCF274Y\A19[1].exe',''); DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OJ9JMU4X\8888[2].exe'); DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\KUUVAAAR\H001[1].exe'); DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\ESCF274Y\A19[1].exe'); DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\ESCF274Y\E001[1].exe'); QuarantineFile('C:\WINDOWS\system32\JINE2UXX\E001.exe',''); QuarantineFile('C:\WINDOWS\system32\EA5H6R5G\E001.exe',''); QuarantineFile('C:\WINDOWS\system32\sopasclib.dll',''); DeleteFile('C:\WINDOWS\system32\JINE2UXX\E001.exe'); DeleteFile('C:\WINDOWS\system32\EA5H6R5G\E001.exe'); DeleteFile('C:\WINDOWS\system32\sopasclib.dll'); DeleteFileMask('C:\WINDOWS\system32\JINE2UXX', '*.*', true); DeleteDirectory('C:\WINDOWS\system32\JINE2UXX'); DeleteFileMask('C:\WINDOWS\system32\EA5H6R5G', '*.*', true); DeleteDirectory('C:\WINDOWS\system32\EA5H6R5G'); DeleteFileMask('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true); QuarantineFile('C:\RECYCLER\S-1-5-21-1164073279-0720463678-968809053-4029\nissan.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-1164073279-0720463678-968809053-4029\nissan.exe'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Сделайте лог MBAM
И сообщение №3 прочтите
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
выкладываю новые логи
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: c:\windows\system32\sopasvstart.dll Driver:: SopSrv Folder:: c:\windows\system32\PNOGKMLQ c:\windows\system32\4486G8ZZ c:\windows\system32\1CYZRQ5N c:\windows\system32\Z8B0VBBF c:\windows\system32\EIJ8NPXV c:\windows\system32\A0M6FNEH c:\windows\system32\8OWHYC8J c:\windows\system32\L3FHLVDR c:\windows\system32\E5JCLDHL c:\windows\system32\FNYGODT5 c:\windows\system32\V4UR8YY2 c:\windows\system32\t Registry:: FileLook:: C:\install_flash_player.exe DirLook::
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
сделал...
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: c:\windows\system32\acpi24.sys c:\windows\system32\Service.exe c:\windows\system32\Antiuzhbh.exe c:\windows\system32\Antitxoax.exe c:\windows\system32\Aseoivrlug.exe c:\windows\system32\xcvcxzve.exe c:\windows\system32\acpi24.exe c:\windows\system32\acpi24.dll c:\windows\932796.tmp c:\windows\932812.tmp c:\windows\359718.tmp c:\windows\359781.tmp c:\windows\system32\sopasclib.dll c:\windows\151203.tmp c:\windows\158718.tmp c:\windows\129718.tmp c:\windows\151218.tmp C:\install_flash_player.exe Driver:: acpi24Drv ba MediaCsrmhu MediaCxcvxc MyuiaCkqndo sdfas Folder:: Registry:: [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] "SopSrv"=- FileLook:: DirLook::
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
новые логи
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: c:\windows\system32\acpi24.exe Driver:: darksheii acpi24 F08113343K Folder:: C:\FOUND.001 c:\windows\system32\TY14WRC5 c:\windows\system32\Q8BILQJP c:\windows\system32\ZTDWIHR1 c:\windows\system32\XO7RFI1R c:\windows\system32\WJWSG2N7 c:\windows\system32\BYLQBXN1 C:\FOUND.000 Registry:: FileLook:: c:\windows\system32\drivers\tcpz-x86d.sys DirLook::
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Спасибо за помощь, но на заряжённом компьютере из-за корявых ручек юзеров слетела винда.
Извиняюсь что долго не отвечал-не было времени, т.к. из-за корявых ручек неизвестных мне механиков на автобусе отказали тормоза и он вьехал в мою машину и мне было не до вирусов.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\sopasclib.dll - Net-Worm.Win32.Kolab.jsr ( BitDefender: DeepScan:Generic.Malware.WX!.1DB50295 )
Уважаемый(ая) sector, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.