постоянно выскакивает, что exploer автоматическая ошибка и вирусы начинающиеся на цыфру.exe плодяться. вот логи
постоянно выскакивает, что exploer автоматическая ошибка и вирусы начинающиеся на цыфру.exe плодяться. вот логи
Последний раз редактировалось СергейТамбов; 04.01.2011 в 10:46.
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Выполните скрипт в АВЗ -Код:O2 - BHO: (no name) - {56B38F40-4E70-11d4-A076-0080AD86BA2F} - (no file)
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); TerminateProcessByName('c:\windows\cfdrive32.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-9148947617-2517715804-590139776-7510\syscr.exe'); QuarantineFile('C:\WINDOWS\topvwuc.exe',''); DeleteFile('C:\WINDOWS\cfdrive32.exe'); DeleteFile('C:\WINDOWS\system32\42.exe'); DeleteFile('C:\WINDOWS\system32\33.exe'); DeleteFile('C:\WINDOWS\system32\32.exe'); DeleteFile('C:\WINDOWS\system32\25.exe'); DeleteFile('C:\WINDOWS\system32\24.exe'); DeleteFile('C:\WINDOWS\system32\16.exe'); DeleteFile('C:\WINDOWS\system32\15.exe'); DeleteFile('C:\WINDOWS\system32\11.exe'); DeleteFile('C:\WINDOWS\system32\07.exe'); DeleteFile('C:\WINDOWS\system32\04.exe'); DeleteFile('C:\WINDOWS\system32\86.exe'); DeleteFile('C:\WINDOWS\system32\55.exe'); DeleteFile('C:\WINDOWS\system32\67.exe'); DeleteFile('C:\WINDOWS\system32\35.exe'); DeleteFile('C:\WINDOWS\system32\26.exe'); DeleteFile('C:\WINDOWS\system32\43.exe'); DeleteFile('C:\WINDOWS\system32\70.exe'); DeleteFile('C:\WINDOWS\system32\64.exe'); DeleteFile('C:\WINDOWS\system32\57.exe'); DeleteFile('C:\WINDOWS\system32\60.exe'); DeleteFile('C:\WINDOWS\system32\14.exe'); DeleteFile('C:\WINDOWS\system32\78.exe'); DeleteFile('C:\WINDOWS\system32\36.exe'); DeleteFile('C:\WINDOWS\system32\21.exe'); DeleteFile('C:\WINDOWS\system32\23.exe'); DeleteFile('C:\Documents and Settings\Z90\Application Data\ltzqai.exe'); DeleteFile('C:\System Volume Information\_restore{9D5458E8-7318-4CD7-B36F-E141E18208E3}\RP1\A0000577.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','VGA'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','VGA'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','VGA'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','VGA'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- выполните такой скрипт
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Повторите логи
Generik host отвалился и эксплоер по прежнему себя закрывает
Добавлено через 53 секунды
Карантин отправил
Последний раз редактировалось СергейТамбов; 03.10.2010 в 14:15. Причина: Добавлено
сорри, не заметил. щас сделаю
вот новые логи
Последний раз редактировалось СергейТамбов; 04.01.2011 в 10:46.
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('C:\Documents and Settings\Z90\Application Data\bdixrjq.exe',''); DeleteFile('C:\WINDOWS\system32\24.exe'); DeleteFile('C:\WINDOWS\system32\77.exe'); DeleteFile('C:\WINDOWS\system32\21.exe'); DeleteFile('C:\Documents and Settings\Z90\Application Data\bdixrjq.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','VGA'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','msnmsgs'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','msnmsgs'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','msnmsgs'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','VGA'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','VGA'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','msnmsgs'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','msnmsgs'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','VGA'); DeleteFile('C:\Documents and Settings\NetworkService\Application Data\jwgssur.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- выполните такой скрипт
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Повторите логи + сделайте лог полного сканирования МВАМ
вот логи
Последний раз редактировалось СергейТамбов; 04.01.2011 в 10:46.
карантин загрузил
Удалите всё, что нашёл МВАМ
- Повторите лог МВАМ
вот лог
Последний раз редактировалось СергейТамбов; 04.01.2011 в 10:46.
Ещё раз удалите всё, что нашёл + повторите лог
готово
Последний раз редактировалось СергейТамбов; 04.01.2011 в 10:46.
Вы же всё правильно делаете? Они возникают опять и опять.
- Сделайте лог ComboFix
в том то и дело, опять и опять
Добавлено через 8 минут
а если Комбо предлогает а майкросовта скачать - это обновления виндуса?
Последний раз редактировалось СергейТамбов; 04.10.2010 в 17:20. Причина: Добавлено
Консоль восстановления хочет скачать скорее всего.
вот лог комбо
Последний раз редактировалось СергейТамбов; 04.01.2011 в 10:46.
Восстановление системы если не отключите, до Нового Года лечиться будете.Восстановление системы: включено
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: c:\documents and settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\9Y1NDHGV\i[1].exe c:\documents and settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\JV4EL53X\i[1].exe c:\documents and settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\SQLX60WV\7007[1].exe c:\documents and settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\SQLX60WV\i[1].exe c:\documents and settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\UVVENWL7\i[1].exe c:\system volume information\_restore{9D5458E8-7318-4CD7-B36F-E141E18208E3}\RP5\A0023135.exe c:\system volume information\_restore{9D5458E8-7318-4CD7-B36F-E141E18208E3}\RP5\A0023156.exe c:\system volume information\_restore{9D5458E8-7318-4CD7-B36F-E141E18208E3}\RP5\A0024199.exe c:\system volume information\_restore{9D5458E8-7318-4CD7-B36F-E141E18208E3}\RP6\A0024241.exe c:\system volume information\_restore{9D5458E8-7318-4CD7-B36F-E141E18208E3}\RP6\A0024244.exe c:\system volume information\_restore{9D5458E8-7318-4CD7-B36F-E141E18208E3}\RP6\A0024245.exe c:\system volume information\_restore{9D5458E8-7318-4CD7-B36F-E141E18208E3}\RP6\A0024246.exe c:\system volume information\_restore{9D5458E8-7318-4CD7-B36F-E141E18208E3}\RP6\A0024249.exe c:\system volume information\_restore{9D5458E8-7318-4CD7-B36F-E141E18208E3}\RP6\A0024251.exe c:\system volume information\_restore{9D5458E8-7318-4CD7-B36F-E141E18208E3}\RP6\A0024252.exe c:\system volume information\_restore{9D5458E8-7318-4CD7-B36F-E141E18208E3}\RP6\A0024258.exe c:\system volume information\_restore{9D5458E8-7318-4CD7-B36F-E141E18208E3}\RP6\A0024259.exe c:\system volume information\_restore{9D5458E8-7318-4CD7-B36F-E141E18208E3}\RP6\A0024266.exe c:\system volume information\_restore{9D5458E8-7318-4CD7-B36F-E141E18208E3}\RP6\A0024268.exe c:\system volume information\_restore{9D5458E8-7318-4CD7-B36F-E141E18208E3}\RP6\A0024272.exe c:\system volume information\_restore{9D5458E8-7318-4CD7-B36F-E141E18208E3}\RP6\A0024273.exe c:\system volume information\_restore{9D5458E8-7318-4CD7-B36F-E141E18208E3}\RP6\A0024286.exe c:\system volume information\_restore{9D5458E8-7318-4CD7-B36F-E141E18208E3}\RP6\A0024292.exe c:\system volume information\_restore{9D5458E8-7318-4CD7-B36F-E141E18208E3}\RP6\A0024307.exe c:\system volume information\_restore{9D5458E8-7318-4CD7-B36F-E141E18208E3}\RP6\A0024314.exe c:\system volume information\_restore{9D5458E8-7318-4CD7-B36F-E141E18208E3}\RP6\A0024315.exe c:\system volume information\_restore{9D5458E8-7318-4CD7-B36F-E141E18208E3}\RP6\A0025319.exe c:\system volume information\_restore{9D5458E8-7318-4CD7-B36F-E141E18208E3}\RP6\A0025322.exe c:\system volume information\_restore{9D5458E8-7318-4CD7-B36F-E141E18208E3}\RP6\A0025325.exe c:\system volume information\_restore{9D5458E8-7318-4CD7-B36F-E141E18208E3}\RP6\A0025326.exe c:\system volume information\_restore{9D5458E8-7318-4CD7-B36F-E141E18208E3}\RP6\A0025328.exe c:\system volume information\_restore{9D5458E8-7318-4CD7-B36F-E141E18208E3}\RP6\A0025329.exe c:\system volume information\_restore{9D5458E8-7318-4CD7-B36F-E141E18208E3}\RP6\A0025330.exe c:\system volume information\_restore{9D5458E8-7318-4CD7-B36F-E141E18208E3}\RP6\A0025332.exe c:\system volume information\_restore{9D5458E8-7318-4CD7-B36F-E141E18208E3}\RP6\A0025337.exe c:\system volume information\_restore{9D5458E8-7318-4CD7-B36F-E141E18208E3}\RP6\A0025338.exe c:\system volume information\_restore{9D5458E8-7318-4CD7-B36F-E141E18208E3}\RP6\A0025339.exe c:\system volume information\_restore{9D5458E8-7318-4CD7-B36F-E141E18208E3}\RP6\A0025342.exe c:\system volume information\_restore{9D5458E8-7318-4CD7-B36F-E141E18208E3}\RP6\A0025358.exe c:\system volume information\_restore{9D5458E8-7318-4CD7-B36F-E141E18208E3}\RP6\A0025359.exe c:\system volume information\_restore{9D5458E8-7318-4CD7-B36F-E141E18208E3}\RP6\A0025365.exe c:\system volume information\_restore{9D5458E8-7318-4CD7-B36F-E141E18208E3}\RP6\A0026355.exe c:\system volume information\_restore{9D5458E8-7318-4CD7-B36F-E141E18208E3}\RP6\A0026356.exe c:\system volume information\_restore{9D5458E8-7318-4CD7-B36F-E141E18208E3}\RP6\A0026375.exe c:\system volume information\_restore{9D5458E8-7318-4CD7-B36F-E141E18208E3}\RP6\A0026376.exe c:\system volume information\_restore{9D5458E8-7318-4CD7-B36F-E141E18208E3}\RP6\A0026377.exe c:\system volume information\_restore{9D5458E8-7318-4CD7-B36F-E141E18208E3}\RP6\A0026404.exe c:\system volume information\_restore{9D5458E8-7318-4CD7-B36F-E141E18208E3}\RP7\A0026408.exe c:\system volume information\_restore{9D5458E8-7318-4CD7-B36F-E141E18208E3}\RP7\A0027408.exe c:\system volume information\_restore{9D5458E8-7318-4CD7-B36F-E141E18208E3}\RP7\A0027430.exe c:\system volume information\_restore{9D5458E8-7318-4CD7-B36F-E141E18208E3}\RP7\A0027449.exe c:\system volume information\_restore{9D5458E8-7318-4CD7-B36F-E141E18208E3}\RP7\A0027452.exe c:\system volume information\_restore{9D5458E8-7318-4CD7-B36F-E141E18208E3}\RP7\A0027474.exe c:\system volume information\_restore{9D5458E8-7318-4CD7-B36F-E141E18208E3}\RP7\A0027490.exe c:\system volume information\_restore{9D5458E8-7318-4CD7-B36F-E141E18208E3}\RP7\A0027491.exe c:\system volume information\_restore{9D5458E8-7318-4CD7-B36F-E141E18208E3}\RP7\A0027492.exe c:\system volume information\_restore{9D5458E8-7318-4CD7-B36F-E141E18208E3}\RP7\A0027495.exe c:\system volume information\_restore{9D5458E8-7318-4CD7-B36F-E141E18208E3}\RP7\A0027657.exe c:\system volume information\_restore{9D5458E8-7318-4CD7-B36F-E141E18208E3}\RP7\A0027732.exe c:\system volume information\_restore{9D5458E8-7318-4CD7-B36F-E141E18208E3}\RP7\A0027741.exe c:\system volume information\_restore{9D5458E8-7318-4CD7-B36F-E141E18208E3}\RP7\A0027772.exe c:\system volume information\_restore{9D5458E8-7318-4CD7-B36F-E141E18208E3}\RP7\A0027839.exe c:\system volume information\_restore{9D5458E8-7318-4CD7-B36F-E141E18208E3}\RP7\A0027869.exe c:\system volume information\_restore{9D5458E8-7318-4CD7-B36F-E141E18208E3}\RP7\A0027876.exe c:\system volume information\_restore{9D5458E8-7318-4CD7-B36F-E141E18208E3}\RP7\A0027885.exe c:\system volume information\_restore{9D5458E8-7318-4CD7-B36F-E141E18208E3}\RP7\A0027904.exe c:\system volume information\_restore{9D5458E8-7318-4CD7-B36F-E141E18208E3}\RP7\A0027951.exe c:\system volume information\_restore{9D5458E8-7318-4CD7-B36F-E141E18208E3}\RP7\A0028075.exe c:\system volume information\_restore{9D5458E8-7318-4CD7-B36F-E141E18208E3}\RP7\A0028078.exe c:\windows\system32\01.exe c:\windows\system32\05.exe c:\windows\system32\08.exe c:\windows\system32\17.exe c:\windows\system32\18.exe c:\windows\system32\40.exe c:\windows\system32\46.exe c:\windows\system32\47.exe c:\windows\system32\48.exe c:\windows\system32\50.exe c:\windows\system32\51.exe c:\windows\system32\62.exe c:\windows\system32\65.exe c:\windows\system32\71.exe c:\windows\system32\74.exe c:\windows\system32\81.exe c:\windows\system32\85.exe c:\windows\topvwuc.exe c:\windows\system32\perfh019.dat c:\windows\system32\perfc019.dat c:\documents and settings\NetworkService\Application Data\gbgmdoo.exe c:\recycler\S-1-5-21-7806373021-9395776890-690124877-4067\syscr.exe c:\windows\system32\00.exe c:\windows\system32\01.exe c:\windows\system32\03.exe c:\windows\system32\04.exe c:\windows\system32\05.exe c:\windows\system32\08.exe c:\windows\system32\10.exe c:\windows\system32\11.exe c:\windows\system32\13.exe c:\windows\system32\15.exe c:\windows\system32\16.exe c:\windows\system32\17.exe c:\windows\system32\18.exe c:\windows\system32\20.exe c:\windows\system32\21.exe c:\windows\system32\22.exe c:\windows\system32\27.exe c:\windows\system32\30.exe c:\windows\system32\31.exe c:\windows\system32\32.exe c:\windows\system32\34.exe c:\windows\system32\35.exe c:\windows\system32\36.exe c:\windows\system32\37.exe c:\windows\system32\40.exe c:\windows\system32\42.exe c:\windows\system32\44.exe c:\windows\system32\45.exe c:\windows\system32\46.exe c:\windows\system32\47.exe c:\windows\system32\48.exe c:\windows\system32\50.exe c:\windows\system32\51.exe c:\windows\system32\52.exe c:\windows\system32\54.exe c:\windows\system32\55.exe c:\windows\system32\56.exe c:\windows\system32\58.exe c:\windows\system32\60.exe c:\windows\system32\62.exe c:\windows\system32\63.exe c:\windows\system32\64.exe c:\windows\system32\65.exe c:\windows\system32\66.exe c:\windows\system32\67.exe c:\windows\system32\68.exe c:\windows\system32\71.exe c:\windows\system32\72.exe c:\windows\system32\73.exe c:\windows\system32\74.exe c:\windows\system32\75.exe c:\windows\system32\76.exe c:\windows\system32\77.exe c:\windows\system32\80.exe c:\windows\system32\81.exe c:\windows\system32\82.exe c:\windows\system32\83.exe c:\windows\system32\84.exe c:\windows\system32\85.exe c:\windows\system32\87.exe c:\windows\system32\88.exe c:\windows\system32\logs c:\windows\topvwuc.exe Driver:: NetSvc:: Folder:: Registry:: FileLook:: DirLook::
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
вот
Последний раз редактировалось СергейТамбов; 04.01.2011 в 10:46.
Сейчас не появляются?
Уважаемый(ая) СергейТамбов, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.