Показано с 1 по 20 из 20.

Одолели вирусы,просьба,помочь! (заявка № 92011)

  1. #1
    Junior Member Репутация
    Регистрация
    16.10.2008
    Сообщений
    12
    Вес репутации
    30

    Exclamation Одолели вирусы,просьба,помочь!

    Добрый день!
    Касперский со свежими базами не видит вирусы. Компьютер стал хуже работать. стали запускаться какие то левые программы и выскакивают ошибки. в автозагрузке сидит процесс psysnew,который не убирается и не уничтожается.
    В прошлом году уже мне помогли. Надеюсь на очередную помощь!
    Спасибо!!!
    Вложения Вложения

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    585
    "Пофиксите" в HijackThis
    Код:
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:8600
    O3 - Toolbar: VKontakte Bar - {A6790AA5-C6C7-4BCF-A46D-0FDAC4EA90EB} - C:\Program Files\VKontakte IE Toolbar\VKontakte.dll (file missing)
    O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
    В AVZ -> файл-> Выполнить скрипт

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\cfdrive32.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe','');
     QuarantineFile('C:\Documents and Settings\Михаил\Application Data\oekx.exe','');
     DeleteService('winsecguard');
     QuarantineFile('C:\WINDOWS\Driver Cache\zpx2.exe','');
     TerminateProcessByName('c:\windows\cfdrive32.exe');
     QuarantineFile('c:\windows\cfdrive32.exe','');
     DeleteFile('c:\windows\cfdrive32.exe');
     DeleteFile('C:\WINDOWS\Driver Cache\zpx2.exe');
     BC_DeleteSvc('winsecguard');
     DeleteFile('C:\Documents and Settings\Михаил\Application Data\oekx.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','psysnew');
     DeleteFile('C:\WINDOWS\cfdrive32.exe');
    RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно правил по ссылке Прислать запрошенный карантин.

    Сделайте лог gmer

    Повторите логи по правилам.

  4. #3
    Junior Member Репутация
    Регистрация
    16.10.2008
    Сообщений
    12
    Вес репутации
    30
    Вроде сделал.
    Вложения Вложения
    • Тип файла: log GMER.log (348.7 Кб, 3 просмотров)

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    426
    Сохраните в блокноте текст ниже как cleanup.bat в ту же папку, где находится f78s4zhc.exe (gmer)
    Код:
    f78s4zhc.exe -del service aghtwf
    f78s4zhc.exe -del file "C:\WINDOWS\system32\agfnab.dll"
    f78s4zhc.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\aghtwf"
    f78s4zhc.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\aghtwf"
    f78s4zhc.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\aghtwf"
    f78s4zhc.exe -reboot
    И запустите cleanup.bat.
    Компьютер перезагрузится!

    Сделайте новый лог gmer.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    585
    логи AVZ не забудьте, просил ведь

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    426
    Цитата Сообщение от light59 Посмотреть сообщение
    Повторите логи по правилам.
    Это тоже сделайте.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  8. #7
    Junior Member Репутация
    Регистрация
    16.10.2008
    Сообщений
    12
    Вес репутации
    30
    Вышлю логи,они очень долго делаются. Комп жутко тормозит. GMER только 5 часов проверял.
    cleanup.bat сделал,как написано-комп не перезагрузился.

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    426
    На время создания логов отключайте интернет и антивирус\файрволл. Возможно так быстрей будет.
    Но потом не забудьте их включить обратно.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  10. #9
    Junior Member Репутация
    Регистрация
    16.10.2008
    Сообщений
    12
    Вес репутации
    30
    Вроде сделал логи,как положено.Извините,если что не так делаю. Жду дальнейших инструкций!
    Вложения Вложения

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    426
    Выполните скрипт в AVZ:
    Код:
    Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
    var
    i : integer;
    KeyList : TStringList;
    KeyName : string;
    begin
    RegKeyResetSecurity(ARoot, AName);
    KeyList := TStringList.Create;
    RegKeyEnumKey(ARoot, AName, KeyList);
    for i := 0 to KeyList.Count-1 do
     begin
     KeyName := AName+'\'+KeyList[i];
     RegKeyResetSecurity(ARoot, KeyName);
     RegKeyResetSecurityEx(ARoot, KeyName);
     end;
    KeyList.Free;
    end;
    Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
    var
     i : integer;
     KeyList : TStringList;
     KeyName : string;
    begin
     Result := 0;
     if StopService(AServiceName) then Result := Result or 1;
     if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
     KeyList := TStringList.Create;
     RegKeyEnumKey('HKLM','SYSTEM', KeyList);
     for i := 0 to KeyList.Count-1 do
      if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
       KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
       if RegKeyExistsEx('HKLM', KeyName) then begin
        Result := Result or 4;
        RegKeyResetSecurityEx('HKLM', KeyName);
        RegKeyDel('HKLM', KeyName);
        if RegKeyExistsEx('HKLM', KeyName) then
         Result := Result or 8;
       end;
      end;
     if AIsSvcHosted then
      BC_DeleteSvcReg(AServiceName)
     else
      BC_DeleteSvc(AServiceName);
     KeyList.Free;
    end;
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
    QuarantineFile('C:\Documents and Settings\Михаил\Application Data\oekx.exe','');
    DeleteFile('C:\Documents and Settings\Михаил\Application Data\oekx.exe');
    AddToLog(inttostr(BC_ServiceKill('aghtwf')) );
    ExecuteSysClean;
    ExecuteWizard('TSW', 2, 2, true);
     SaveLog(GetAVZDirectory+'avz_log.txt');
     BC_Activate;
     RebootWindows(true);
    end.
    Компьютер перезагрузится.

    После перезагрузки выполните скрипт в AVZ:
    Код:
     begin
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
     end.
    Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

    Файл avz_log.txt из папки AVZ приложите здесь.

    Повторите лог virusinfo_syscheck.zip и приложите в теме.

    Добавлено через 2 минуты

    Повторите лог gmer и тоже приложите.
    Последний раз редактировалось Nikkollo; 19.11.2010 в 20:35. Причина: Добавлено
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  12. #11
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,573
    Вес репутации
    2915
    А также

    Сделайте лог ComboFix
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  13. #12
    Junior Member Репутация
    Регистрация
    16.10.2008
    Сообщений
    12
    Вес репутации
    30
    Карантин выслать не получилось-пишет,что такой файл уже был загружен. лог GMER будет часов через 5.
    Вложения Вложения

  14. #13
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,573
    Вес репутации
    2915
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    
    Driver::
    aghtwf
    
    NetSvc::
    aghtwf
    
    Folder::
    
    Registry::
    
    FileLook::
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  15. #14
    Junior Member Репутация
    Регистрация
    16.10.2008
    Сообщений
    12
    Вес репутации
    30
    Очередной отчёт. GMER на середине работы завис,пришлось перезагружать комп. Есть ли смысл снова запускать?
    Вложения Вложения

  16. #15
    Junior Member Репутация
    Регистрация
    16.10.2008
    Сообщений
    12
    Вес репутации
    30
    Кстати,компьютер стал работать заметно быстрее...Хотя Винда загружается так же медленно,около 5 минут.

  17. #16
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,573
    Вес репутации
    2915
    Лог gmer не нужен. Все исправил ComboFix

    Больше придраться не к чему

    Удалите ComboFix

    В логе видны 2 антивируса. Оставьте один
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  18. #17
    Junior Member Репутация
    Регистрация
    16.10.2008
    Сообщений
    12
    Вес репутации
    30
    Что значит оставьте один? Поясните,пожалуйста. После удаления ComboFix при перезагрузке компа замечена ещё большая продолжительность загрузки windows. Все проблемы,которые были,так и остались:комп тормозит,долго грузиться,ощущение,что нехватает оперативки...

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    585
    То и значит, что оставить нужно один. 2 антивируса это возможная причина ваших тормозов. Так же могут быть сбои системы .

  20. #19
    Junior Member Репутация
    Регистрация
    16.10.2008
    Сообщений
    12
    Вес репутации
    30
    Спасибо и на этом! Второй антивирус удалил.

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,547
    Вес репутации
    941

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 17
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\михаил\\application data\\oekx.exe - Packed.Win32.Krap.ig ( DrWEB: Trojan.Inject.13653, BitDefender: Trojan.Generic.5267003, NOD32: Win32/Bflient.K worm, AVAST4: Win32:AutoRun-BRP [Trj] )
      2. c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1455\\psysnew.exe - Trojan.Win32.VBKrypt.aqub ( DrWEB: Win32.HLLW.Autoruner.17766, BitDefender: Trojan.Generic.5205718, AVAST4: Win32:Malware-gen )
      3. c:\\windows\\apppatch\\foklkqv.dat - Backdoor.Win32.Shiz.fnf ( DrWEB: Trojan.PWS.Ibank.300, BitDefender: Gen:Variant.Kazy.29093, AVAST4: Win32:MalOb-IP [Cryp] )
      4. c:\\windows\\cfdrive32.exe - Trojan.Win32.VBKrypt.anuy ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.5139142, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) m80821, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. просьба помочь
      От Михаил_Сергеевич в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 08.10.2009, 13:47
    2. Просьба помочь
      От vdvk в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 19.03.2009, 13:38
    3. Просьба помочь!
      От vector в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 16.03.2009, 21:35
    4. Ответов: 3
      Последнее сообщение: 27.01.2009, 03:19
    5. Просьба помочь
      От PADRE в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 14.04.2008, 12:32

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01480 seconds with 23 queries