На компе спустя какой то время пересаёт работать интернет. НОД32 постоянно детектит некий вирус ali.exe, после проверки НОДом спустя какой то время он опять появляется. Вот логи помогите вычистить.
На компе спустя какой то время пересаёт работать интернет. НОД32 постоянно детектит некий вирус ali.exe, после проверки НОДом спустя какой то время он опять появляется. Вот логи помогите вычистить.
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); TerminateProcessByName('c:\windows\system32\dsxfoq.exe'); QuarantineFile('c:\windows\system32\dsxfoq.exe',''); TerminateProcessByName('c:\windows\system32\kumkae.exe'); QuarantineFile('c:\windows\system32\kumkae.exe',''); TerminateProcessByName('c:\windows\system32\oyaceg.exe'); QuarantineFile('c:\windows\system32\oyaceg.exe',''); DeleteService('wmasds'); QuarantineFile('C:\WINDOWS\system32\tlac.exe',''); DeleteService('WinHelp32'); QuarantineFile('C:\WINDOWS\system32\WinHelp32.exe',''); DeleteService('srgr'); QuarantineFile('C:\WINDOWS\system32\Y2T30JWI\D001.exe',''); QuarantineFile('C:\WINDOWS\system32\nefjeq.exe',''); QuarantineFile('C:\WINDOWS\system32\dsxfoq.exe',''); QuarantineFile('C:\WINDOWS\system32\kumkae.exe',''); QuarantineFile('C:\WINDOWS\system32\loprku.exe',''); QuarantineFile('C:\WINDOWS\system32\360tay.exe',''); QuarantineFile('C:\PROFILES\All Users\Application Data\Storm\update\Console\pkgsq.cc3',''); QuarantineFile('C:\WINDOWS\system32\RgmhtuC.dll',''); QuarantineFile('C:\WINDOWS\ali.exe',''); QuarantineFile('C:\Program Files\PRMT8\PrmtICQ\PrmtICQ.exe',''); QuarantineFile('C:\WINDOWS\system32\winhelp32.exe',''); DeleteFile('C:\WINDOWS\system32\winhelp32.exe'); DeleteFile('C:\WINDOWS\ali.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','qQ'); DeleteFile('C:\WINDOWS\system32\Y2T30JWI\D001.exe'); BC_DeleteSvc('srgr'); DeleteFile('C:\WINDOWS\system32\WinHelp32.exe'); BC_DeleteSvc('WinHelp32'); DeleteFile('C:\WINDOWS\system32\tlac.exe'); DeleteFileMask('C:\WINDOWS\system32\Y2T30JWI','*.*',true); DeleteDirectory('C:\WINDOWS\system32\Y2T30JWI'); BC_DeleteSvc('wmasds'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- выполните такой скрипт
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
выполните скрипт
Код:var j:integer; NumStr:string; begin for j:=0 to 999 do begin if j=0 then NumStr:='CurrentControlSet' else if j<10 then NumStr:='ControlSet00'+IntToStr(j) else if j<100 then NumStr:='ControlSet0'+IntToStr(j) else NumStr:='ControlSet'+IntToStr(j); if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.'); end; if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.'); end; end; SaveLog(GetAVZDirectory + 'fystemRoot.log'); end.
Карантин выслал.
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); DeleteService('srgr'); DeleteService('txstc'); DeleteService('txstx'); DeleteService('u7t'); DeleteService('wmasds'); TerminateProcessByName('c:\windows\system32\oyaceg.exe'); TerminateProcessByName('c:\windows\system32\kumkae.exe'); DeleteService('supersev'); StopService('supersev'); SetServiceStart('supersev', 4); TerminateProcessByName('c:\windows\system32\dsxfoq.exe'); DeleteService('e ds'); StopService('e ds'); SetServiceStart('e ds', 4); BC_DeleteSvc('e ds'); DeleteFile('C:\WINDOWS\system32\dsxfoq.exe'); BC_DeleteSvc('supersev'); DeleteFile('C:\WINDOWS\system32\kumkae.exe'); DeleteFile('c:\windows\system32\oyaceg.exe'); BC_DeleteSvc('wmasds'); DeleteFile('C:\WINDOWS\system32\tlac.exe'); DeleteFile('C:\WINDOWS\system32\betlac.exe'); BC_DeleteSvc('u7t'); BC_DeleteSvc('txstx'); BC_DeleteSvc('txstc'); BC_DeleteSvc('srgr'); DeleteFile('C:\WINDOWS\system32\nefjeq.exe'); DeleteFile('c:\windows\system32\dsxfoq.exe'); DeleteFile('c:\windows\system32\kumkae.exe'); DeleteFile('c:\windows\system32\oyaceg.exe'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); BC_Activate; RebootWindows(true); end.
- Сделайте новые логи
Новые логи.
Сделайте лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Лог ComboFix
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: c:\profiles\All Users\Application Data\Storm\update\%SESSIONNAME%\pkgsq.cc3 c:\windows\system32\drivers\tcpz-x86d.sys c:\windows\system32\loprku.exe c:\windows\system32\eisuiw.exe Driver:: TCPZ bdgg der Power SmsFam vrs WaeqSvc WaesSvc Folder:: c:\windows\system32\8FXPT0D0 c:\windows\system32\4D8DCYK6 c:\windows\system32\3XMUJC3D c:\windows\system32\3XH16D7J c:\windows\system32\1DLLYR5M c:\windows\system32\YJ3EKKIT c:\windows\system32\Y4AA82RL c:\windows\system32\EFVEVI2I c:\windows\system32\DM8YJ6NP c:\windows\system32\DGC6SHPH c:\windows\system32\DAGG0RR8 c:\windows\system32\D3JOA1T0 c:\windows\system32\DXNWICVS c:\windows\system32\DRQ4QMXK c:\windows\system32\DLUEZWZC c:\windows\system32\D3EVW2X6 c:\windows\system32\DXI35DZY c:\windows\system32\6XD58K0R c:\windows\system32\VH6SNSOU c:\windows\system32\t c:\profiles\All Users\Application Data\Storm Registry:: [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] "WaeqSvc"=- "WaesSvc"=- FileLook:: DirLook::
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Новые логи ComboFix
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Лог MBAM
Запакуйте, пожалуйста, папку C:\Qoobox\Quarantine с паролем virus и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.
Если почтовый сервер не будет пропускать письмо, выложите архив на файлообменник, а на указанный e-mail отправьте письмо со ссылкой на скачивание.
Удалите в МВАМПроблема решена?Код:Зараженные папки: C:\Program Files\Save (Adware.WhenU) -> No action taken. Зараженные файлы: C:\PROFILES\Administrator\mb\D001.exe (Malware.Packer) -> No action taken. C:\PROFILES\Administrator\mb\G001.exe (Malware.Packer) -> No action taken. C:\PROFILES\Administrator\mb\Z001.exe (Malware.Packer) -> No action taken. C:\PROFILES\Administrator\mb\E002.exe (Malware.Packer) -> No action taken. C:\PROFILES\Administrator\mb\G002.exe (Malware.Packer) -> No action taken. C:\Program Files\Save\SaveUninst.exe (Adware.WhenU) -> No action taken. C:\System Volume Information\_restore{265CD683-0DF2-44F9-9E68-43000DE00C20}\RP1\A0000151.exe (Malware.Packer) -> No action taken. C:\System Volume Information\_restore{265CD683-0DF2-44F9-9E68-43000DE00C20}\RP1\A0000153.exe (Malware.Packer) -> No action taken. C:\System Volume Information\_restore{265CD683-0DF2-44F9-9E68-43000DE00C20}\RP1\A0000154.exe (Malware.Packer) -> No action taken. C:\System Volume Information\_restore{265CD683-0DF2-44F9-9E68-43000DE00C20}\RP1\A0000156.exe (Malware.Packer) -> No action taken. C:\System Volume Information\_restore{265CD683-0DF2-44F9-9E68-43000DE00C20}\RP1\A0000157.exe (Malware.Packer) -> No action taken. C:\System Volume Information\_restore{265CD683-0DF2-44F9-9E68-43000DE00C20}\RP1\A0000159.exe (Malware.Packer) -> No action taken. C:\System Volume Information\_restore{265CD683-0DF2-44F9-9E68-43000DE00C20}\RP1\A0000160.exe (Malware.Packer) -> No action taken. C:\System Volume Information\_restore{265CD683-0DF2-44F9-9E68-43000DE00C20}\RP1\A0000162.exe (Malware.Packer) -> No action taken. C:\System Volume Information\_restore{265CD683-0DF2-44F9-9E68-43000DE00C20}\RP1\A0000163.exe (Malware.Packer) -> No action taken. C:\System Volume Information\_restore{265CD683-0DF2-44F9-9E68-43000DE00C20}\RP1\A0000166.exe (Malware.Packer) -> No action taken. C:\System Volume Information\_restore{265CD683-0DF2-44F9-9E68-43000DE00C20}\RP1\A0000168.exe (Malware.Packer) -> No action taken. C:\Qoobox\Quarantine\C\WINDOWS\system32\1DLLYR5M\G001.exe.vir (Malware.Packer) -> No action taken. C:\Qoobox\Quarantine\C\WINDOWS\system32\1DLLYR5M\Z001.exe.vir (Malware.Packer) -> No action taken. C:\Qoobox\Quarantine\C\WINDOWS\system32\3XH16D7J\G001.exe.vir (Malware.Packer) -> No action taken. C:\Qoobox\Quarantine\C\WINDOWS\system32\3XH16D7J\Z001.exe.vir (Malware.Packer) -> No action taken. C:\Qoobox\Quarantine\C\WINDOWS\system32\3XMUJC3D\G001.exe.vir (Malware.Packer) -> No action taken. C:\Qoobox\Quarantine\C\WINDOWS\system32\3XMUJC3D\Z001.exe.vir (Malware.Packer) -> No action taken. C:\Qoobox\Quarantine\C\WINDOWS\system32\4D8DCYK6\G001.exe.vir (Malware.Packer) -> No action taken. C:\Qoobox\Quarantine\C\WINDOWS\system32\4D8DCYK6\Z001.exe.vir (Malware.Packer) -> No action taken. C:\Qoobox\Quarantine\C\WINDOWS\system32\6XD58K0R\A23.exe.vir (Malware.Packer) -> No action taken. C:\Qoobox\Quarantine\C\WINDOWS\system32\YJ3EKKIT\G001.exe.vir (Malware.Packer) -> No action taken. C:\Qoobox\Quarantine\C\WINDOWS\system32\YJ3EKKIT\Z001.exe.vir (Malware.Packer) -> No action taken. C:\Program Files\Save\save.htm (Adware.WhenU) -> No action taken. C:\Program Files\Save\save.db (Adware.WhenU) -> No action taken. C:\Program Files\Save\store.db (Adware.WhenU) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
1. Письмо отправил. Смотрите, вроде пропустило
2. Всё удалил.
3. Пока по наблюдениям всё в норме, проблемы нет.
Спасибо за помощь.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\\program files\\prmt8\\prmticq\\prmticq.exe - Backdoor.Win32.Httpbot.apu ( DrWEB: BackDoor.Darkshell.77, BitDefender: Trojan.Generic.5953383, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\dsxfoq.exe - Trojan.Win32.Scar.dgpb ( DrWEB: Trojan.DownLoad1.53651, BitDefender: GenPack:Trojan.Generic.4575256, NOD32: Win32/ServStart.AI trojan, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\\windows\\system32\\kumkae.exe - Trojan.Win32.Scar.dgjt ( DrWEB: Trojan.DownLoader1.8357, BitDefender: GenPack:Trojan.Generic.4571416, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\oyaceg.exe - Trojan.Win32.Scar.dgdi ( DrWEB: Trojan.DownLoader1.8357, BitDefender: Rootkit.48812, AVAST4: Win32:Rootkit-gen [Rtk] )
Уважаемый(ая) Михаил_83, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.