Помощь по избавлению от вирусов
Добавлено через 1 минуту
Помогите избавиться от вирусов этой марки((( Что нужно сделать???
Помощь по избавлению от вирусов
Добавлено через 1 минуту
Помогите избавиться от вирусов этой марки((( Что нужно сделать???
Последний раз редактировалось ПЭДРО; 25.09.2010 в 11:41. Причина: Добавлено
Выполнить правила.
вот))
Последний раз редактировалось ПЭДРО; 13.10.2010 в 22:22.
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Выполните скрипт в АВЗ -Код:R3 - URLSearchHook: (no name) - - (no file)
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('C:\RECYCLER\S-1-5-21-9197563262-5610388892-731535068-6587\syscr.exe'); TerminateProcessByName('c:\windows\cfdrive32.exe'); QuarantineFile('C:\Program Files\Opera\setupapi.dll',''); QuarantineFile('C:\Documents and Settings\Admin\Application Data\ltzqai.exe',''); QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll',''); QuarantineFile('C:\WINDOWS\system32\23.exe',''); QuarantineFile('C:\WINDOWS\system32\12.exe',''); QuarantineFile('C:\WINDOWS\system32\57.exe',''); QuarantineFile('C:\WINDOWS\system32\67.exe',''); QuarantineFile('C:\WINDOWS\system32\86.exe',''); QuarantineFile('C:\WINDOWS\system32\00.exe',''); QuarantineFile('C:\WINDOWS\system32\02.exe',''); QuarantineFile('C:\WINDOWS\system32\04.exe',''); QuarantineFile('C:\WINDOWS\system32\24.exe',''); QuarantineFile('C:\WINDOWS\cfdrive32.exe',''); DeleteFile('C:\WINDOWS\cfdrive32.exe'); DeleteFile('C:\WINDOWS\system32\24.exe'); DeleteFile('C:\WINDOWS\system32\04.exe'); DeleteFile('C:\WINDOWS\system32\02.exe'); DeleteFile('C:\WINDOWS\system32\00.exe'); DeleteFile('C:\WINDOWS\system32\86.exe'); DeleteFile('C:\WINDOWS\system32\67.exe'); DeleteFile('C:\WINDOWS\system32\57.exe'); DeleteFile('C:\WINDOWS\system32\12.exe'); DeleteFile('C:\WINDOWS\system32\23.exe'); DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll'); DeleteFile('C:\Documents and Settings\Admin\Application Data\ltzqai.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup'); DeleteFile('C:\Program Files\Opera\setupapi.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- выполните такой скрипт
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Повторите логи
- Установлен ли браузе firefox?
firefox не установлен
Последний раз редактировалось ПЭДРО; 13.10.2010 в 22:22.
Сделайте лог полного сканирования МВАМ
Вот
Последний раз редактировалось ПЭДРО; 13.10.2010 в 22:22.
Удалите в МВАМ -
- Повторите логКод:Зараженные файлы: C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\syscron.exe (Spyware.Passwords.XGen) -> No action taken.
ОПять беда с чем это связанно? где я их хватаю?((( ни минуты покоя...
Последний раз редактировалось ПЭДРО; 13.10.2010 в 22:22.
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('C:\WINDOWS\system32\23.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
cfdrive32.exe - вот этот есть в процессах?
не а нету
Повторите лог МВАМ
инфицированных объектов не обнаружено
А присутствие есть?
Вроди как нету, в общем вот...
Последний раз редактировалось ПЭДРО; 13.10.2010 в 22:22.
Наблюдайте и ещё раз наблюдайте, при рецидиве - поднимайте тему.
Хорошо буду следить Спасибо вам большое, незнаю чтоб без вас делал
хэлп((
Последний раз редактировалось ПЭДРО; 13.10.2010 в 22:22.
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('fgymtoar.sys',''); QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll',''); QuarantineFile('C:\WINDOWS\system32\digest.dll',''); QuarantineFile('C:\WINDOWS\xomfs.exe',''); QuarantineFile('C:\Documents and Settings\Admin\Application Data\cuosc.exe',''); DeleteFile('C:\WINDOWS\system32\33.exe'); DeleteFile('C:\Documents and Settings\Admin\Application Data\cuosc.exe'); DeleteFile('C:\WINDOWS\xomfs.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Driversys32'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Driversys32'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Driversys32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Driversys32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Driversys32'); DeleteFile('C:\WINDOWS\system32\digest.dll'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','VGAResolution'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','VGAResolution'); DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier'); DeleteFile('C:\Documents and Settings\NetworkService\Application Data\tyfka.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','VGAResolution'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','msnmsg'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','msnmsg'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','VGAResolution'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','VGAResolution'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','msnmsg'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','msnmsg'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','msnmsg');; RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- выполните такой скрипт
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
- Сделайте лог ComboFix
вот
Последний раз редактировалось ПЭДРО; 13.10.2010 в 22:22.
Уважаемый(ая) ПЭДРО, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.