Добрый день! Нахватала много вирусов, щас вроде вылечила антивиром Но все равно висят какие то процессы неизвестные мне. Посмотрите пожалуйста есть ли че нить непутевое.
Добрый день! Нахватала много вирусов, щас вроде вылечила антивиром Но все равно висят какие то процессы неизвестные мне. Посмотрите пожалуйста есть ли че нить непутевое.
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Выполните скрипт в АВЗ -Код:R3 - URLSearchHook: (no name) - - (no file) O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file)
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); TerminateProcessByName('c:\program files\microsoft\svchost.exe'); TerminateProcessByName('c:\windows\system32\2552411234234\svhost.exe'); StopService('2552411234234'); DeleteService('2552411234234'); StopService('Adobe Acrobat'); DeleteService('Adobe Acrobat'); DeleteService('der'); DeleteService('Netnanerav'); DeleteService('tgt'); DeleteService('WinHelp32'); DeleteService('WmdmPmSN'); QuarantineFile('C:\WINDOWS\system32\2552411234234\svhost.exe',''); QuarantineFile('C:\Program Files\Microsoft\svchost.exe',''); QuarantineFile('C:\WINDOWS\system32\02EJJ046\F001.exe',''); QuarantineFile('C:\WINDOWS\system32\iSql\E001.exe',''); QuarantineFile('C:\WINDOWS\system32\WinHelp32.exe',''); QuarantineFile('C:\Documents and Settings\All Users\Application Data\lanmao.exe',''); QuarantineFile('C:\WINDOWS\ali.exe',''); QuarantineFile('C:\WINDOWS\system32\scvhost.exe',''); DeleteFile('C:\WINDOWS\system32\scvhost.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','ServicesController'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ServicesController'); DeleteFile('C:\WINDOWS\ali.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','qQ'); DeleteFile('C:\Documents and Settings\All Users\Application Data\lanmao.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WmdmPmSN\Parameters','ServiceDll'); DeleteFile('C:\WINDOWS\system32\WinHelp32.exe'); DeleteFile('C:\WINDOWS\system32\iSql\E001.exe'); DeleteFile('C:\WINDOWS\system32\02EJJ046\F001.exe'); DeleteFile('C:\Program Files\Microsoft\svchost.exe'); DeleteFile('C:\WINDOWS\system32\2552411234234\svhost.exe'); BC_DeleteSvc('WmdmPmSN'); BC_DeleteSvc('WinHelp32'); BC_DeleteSvc('tgt'); BC_DeleteSvc('Netnanerav'); BC_DeleteSvc('der'); BC_DeleteSvc('Adobe Acrobat'); BC_DeleteSvc('2552411234234'); BC_ImportAll; ExecuteSysClean; RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet001\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet005\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- выполните такой скрипт
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Повторите логи
Карантин отправила. Новые логи.
Выполните скрипт в АВЗ -
- прикрепите к сообщению файл fystemRoot.log, который появится в папке с AVZКод:var j:integer; NumStr:string; begin for j:=0 to 999 do begin if j=0 then NumStr:='CurrentControlSet' else if j<10 then NumStr:='ControlSet00'+IntToStr(j) else if j<100 then NumStr:='ControlSet0'+IntToStr(j) else NumStr:='ControlSet'+IntToStr(j); if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.'); end; if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.'); end; end; SaveLog(GetAVZDirectory + 'fystemRoot.log'); end.
ок
Что с проблемой?
ну так то видимых проблем вроде нет. Смущают процеммы spoolsc.exe, jqs.exe, alg.exe
Не должны смущать jqs.exe, spoolsc.exe, alg.exe
Тогда все отлично!!!! Спасибо большое!!
Рекомендуется
- Установить все важные обновления.
- Установить IE 8 - даже если Вы им не пользуетесь.
ОК! Спасибо!
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 18
- В ходе лечения обнаружены вредоносные программы:
- c:\\program files\\microsoft\\svchost.exe - Trojan.Win32.Agent.fxbf ( DrWEB: BackDoor.Siggen.26908, BitDefender: Trojan.Generic.4985227, NOD32: Win32/Agent.OUB trojan, AVAST4: Win32:PcClient-ZE [Trj] )
Уважаемый(ая) IntGirl, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.