Локалка есть интернета нет.
Локалка есть интернета нет.
Последний раз редактировалось eppa; 22.10.2010 в 13:08.
Отключите восстановление системы!
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:R3 - URLSearchHook: (no name) - - (no file) F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe beforeglav O4 - HKLM\..\Run: [gshdholvs] C:\WINDOWS\System32\gshdholvs.exe O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\widrive32.exe O4 - HKLM\..\Run: [msnmsgs] C:\Documents and Settings\Ekaterina\Application Data\jfysxir.exe O4 - HKLM\..\Run: [Driversys] C:\WINDOWS\iydmktk.exe O4 - HKLM\..\Run: [VGA] C:\DOCUME~1\EKATER~1\LOCALS~1\Temp\212.exe O4 - HKLM\..\Run: [876] C:\WINDOWS\system32\umdmgr.exe O4 - HKLM\..\Run: [291] C:\WINDOWS\system32\umdmgr.exe O4 - HKCU\..\Run: [Tok-Cirrhatus-3081] "C:\Documents and Settings\Ekaterina\Local Settings\Application Data\br7185on.exe" O4 - HKCU\..\Run: [gshdholvs] C:\Documents and Settings\Ekaterina\gshdholvs.exe O4 - HKCU\..\Run: [msnmsgs] C:\Documents and Settings\Ekaterina\Application Data\jfysxir.exe O4 - HKCU\..\Run: [Driversys] C:\WINDOWS\iydmktk.exe O4 - HKCU\..\Run: [VGA] C:\DOCUME~1\EKATER~1\LOCALS~1\Temp\212.exe O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\widrive32.exe O4 - HKLM\..\Policies\Explorer\Run: [msnmsgs] C:\Documents and Settings\Ekaterina\Application Data\jfysxir.exe O4 - HKLM\..\Policies\Explorer\Run: [Driversys] C:\WINDOWS\iydmktk.exe O4 - HKLM\..\Policies\Explorer\Run: [VGA] C:\DOCUME~1\EKATER~1\LOCALS~1\Temp\212.exe
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\sysmngsr322.exe',''); QuarantineFile('D:\autorun.inf',''); QuarantineFile('C:\WINDOWS\widrive32.exe',''); QuarantineFile('C:\WINDOWS\system32\umdmgr.exe',''); QuarantineFile('C:\WINDOWS\iydmktk.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-9346339405-7862149016-803051990-2101\mcssc.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-9366221569-3525584580-919170634-4243\mcssc.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-6548189925-4449170652-508821026-5477\mcssc.exe',''); QuarantineFile('C:\Documents and Settings\Ekaterina\gshdholvs.exe',''); QuarantineFile('C:\Documents and Settings\Ekaterina\Application Data\jfysxir.exe',''); QuarantineFile('C:\DOCUME~1\EKATER~1\LOCALS~1\Temp\212.exe',''); DeleteFile('C:\DOCUME~1\EKATER~1\LOCALS~1\Temp\212.exe'); DeleteFile('C:\Documents and Settings\Ekaterina\Application Data\jfysxir.exe'); DeleteFile('C:\Documents and Settings\Ekaterina\gshdholvs.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-9346339405-7862149016-803051990-2101\mcssc.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-9366221569-3525584580-919170634-4243\mcssc.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-6548189925-4449170652-508821026-5477\mcssc.exe'); DeleteFile('C:\WINDOWS\iydmktk.exe'); DeleteFile('C:\WINDOWS\system32\umdmgr.exe'); DeleteFile('C:\WINDOWS\widrive32.exe'); DeleteFile('D:\autorun.inf'); DeleteFile('C:\WINDOWS\sysmngsr322.exe'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,3,true); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=89458).
Сделайте новые логи.
I am not young enough to know everything...
Можно ли ка-то по другому выключить востановление системы простым способом не отключается говорит что программа занята попробуйте после перезагрузки. Перегружался все то же.
Пропустите это, потом посмотрим.
I am not young enough to know everything...
Done
Последний раз редактировалось eppa; 22.10.2010 в 13:07.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('F:\autorun.inf',''); QuarantineFile('C:\WINDOWS\system32\SiteAccess.dll',''); QuarantineFile('C:\WINDOWS\klukfnc.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-9488609074-3075682041-398127355-2302\mcssc.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-5940777086-4394566450-123161176-3060\mcssc.exe',''); QuarantineFile('C:\Documents and Settings\Ekaterina\Application Data\aehtavf.exe',''); DeleteFile('C:\Documents and Settings\Ekaterina\Application Data\aehtavf.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-9488609074-3075682041-398127355-2302\mcssc.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-5940777086-4394566450-123161176-3060\mcssc.exe'); DeleteFile('C:\WINDOWS\klukfnc.exe'); DeleteFile('C:\WINDOWS\system32\SiteAccess.dll'); DeleteFile('F:\autorun.inf'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(6); RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); RegKeyStrParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', ''); RegKeyParamDel('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman'); RebootWindows(true); end.
Пришлите новый карантин согласно приложению 3 правил.
Проверьте, появилась ли возможность отключить восстановление системы. Если да - отключите.
Сделайте новые логи (HijackThis не забывайте).
I am not young enough to know everything...
Done. Прислал 2 карантина так как в разные дни делал. Псмотрите.
Последний раз редактировалось eppa; 22.10.2010 в 13:07.
Закройте все программы, выполните скрипт в AVZ:После выполнения скрипта компьютер перезагрузится! Сделайте новые логи по правиламКод:begin RegKeyIntParamWrite('HKLM','SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore','DisableSR',1); SearchRootkit(true, true); SetAVZGuardStatus(True); RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\toppuimme'); RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\toppuimme\Parameters'); DeleteFile('C:\RECYCLER\S-1-5-21-5940777086-4394566450-123161176-3060\mcssc.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-9488609074-3075682041-398127355-2302\mcssc.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-0362012291-5324705066-019239513-2534\mcssc.exe'); DeleteFile('C:\Documents and Settings\Ekaterina\Application Data\aehtavf.exe'); DeleteFile('C:\WINDOWS\system32\SiteAccess.dll'); DeleteFile('F:\autorun.inf'); DeleteFile('F:\TMPFILE\autorun.exe'); DeleteFile('C:\WINDOWS\klukfnc.exe'); DeleteFile('C:\WINDOWS\klukfnc.exe'); DeleteFile('C:\WINDOWS\vpvcxur.exe'); DeleteFile('C:\Documents and Settings\Ekaterina\Application Data\nepthah.exe'); DeleteFile('C:\WINDOWS\udetqqv.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','msnmsgs'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','VGA'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','msnmsgs'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','VGA'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','msnmsgs'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','VGA'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Driversys'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Driversys'); RegKeyStrParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', ''); RegKeyParamDel('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman'); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
all done. Теперь флешки не открываются пишет нет доступа.
Последний раз редактировалось eppa; 22.10.2010 в 13:07.
Сделайте лог ComboFix
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Сделал. Только логов mbam-setup-1.46.exe в папке не было она пустая была я просто сохранил отчет о сканировании.
Последний раз редактировалось eppa; 22.10.2010 в 13:07.
Так что? Есть что-то?
Удалите в mbam
Выполните скрипт в AVZ:Код:Зараженные ключи в реестре: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AtapiDrv.sys (Rootkit.Agent) -> No action taken.Если из этих файлов что-нибудь попадет в карантин, то пришлите по правиламКод:begin QuarantineFile('c:\documents and settings\Ekaterina\csrss.exe',''); QuarantineFile('c:\windows\uwlapsi.exe',''); QuarantineFile('c:\windows\upshouu.exe',''); QuarantineFile('c:\windows\knqkmsq.exe',''); QuarantineFile('c:\windows\khxqlud.exe',''); QuarantineFile('c:\windows\system32\winlogon.exe',''); end.
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: c:\documents and settings\Ekaterina\csrss.exe Driver:: toppuimme NetSvc:: toppuimme Folder:: Registry:: [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "8272:TCP"=- FileLook:: DirLook::
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Все сделал
Последний раз редактировалось eppa; 22.10.2010 в 13:07.
Чисто?
эти файлы удалите вручнуюc:\windows\uwlapsi.exe
c:\windows\upshouu.exe
c:\windows\knqkmsq.exe
c:\windows\khxqlud.exe
Удалите в mbam
в остальном чистоКод:Зараженные ключи в реестре: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AtapiDrv.sys (Rootkit.Agent) -> No action taken.
Это удалилc:\windows\uwlapsi.exe
c:\windows\upshouu.exe
c:\windows\knqkmsq.exe
c:\windows\khxqlud.exe
А вотне получается mbam удаляет перегружается а после проверки опять все на месте. Пытался руками в реестре этого нетHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Network\AtapiDrv.sys (Rootkit.Agent) -> No action taken
как удалитьКод:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Network\AtapiDrv.sys (Rootkit.Agent) -> No action taken
Логи AVZ сделайте новые
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Логи:
Последний раз редактировалось eppa; 18.11.2010 в 17:31.
Уважаемый(ая) eppa, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.