Собственно сабж. Помогите пожалуйста.
Собственно сабж. Помогите пожалуйста.
Отключите восстановление системы!
Отключив интернет и антивирус, выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\Евгений\Application Data\ltzqai.exe',''); QuarantineFile('C:\WINDOWS\system32\40.exe',''); QuarantineFile('C:\WINDOWS\system32\msvmiode.exe',''); QuarantineFile('C:\WINDOWS\gwdrive32.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-8098683632-5083331626-442963771-4967\csisd.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-8098683632-5083331626-442963771-4967\csisd.exe'); DeleteFile('C:\WINDOWS\gwdrive32.exe'); DeleteFile('C:\WINDOWS\system32\msvmiode.exe'); DeleteFile('C:\WINDOWS\system32\40.exe'); DeleteFile('C:\Documents and Settings\Евгений\Application Data\ltzqai.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RegKeyParamDel('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman'); RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=94241).
Сделайте новые логи.
I am not young enough to know everything...
А как снести эти вирусы с флэшки, без форматирования и избежав при этом повторного заражения компьютера?
Спасибо.
Добавлено через 49 минут
ещё одна проблема, при наборе текста иногда автоматически производится набор в виде "testtesttesttesttesttesttesttesttesttesttesttestt esttesttesttesttesttesttesttesttesttesttesttesttes ttesttesttesttesttesttesttesttesttesttesttesttestt esttesttesttesttesttesttesttesttesttesttesttes".
Это тоже проделки вируса?
Последний раз редактировалось Simpetus; 26.12.2010 в 10:53. Причина: Добавлено
Всё выполнил.
Логи в аттаче.
Заметил ещё одну проблему, сейчас в меню кнопки "пуск" не работает правая клавиша мыши, т.е. обычно можно выбрать ярлык, нажать на правую кнопку мыши и выпадет дополнительное меню (свойства, открыть как и пр.), сейчас нет.
Нет, проделки AVZ
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Лог в аттаче.
- удалите в MBAM
- Выполните скрипт в AVZКод:Заражённые папки: c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> No action taken. Заражённые файлы: c:\documents and settings\Евгений\local settings\Temp\428.exe (Trojan.Agent) -> No action taken. c:\documents and settings\Евгений\local settings\Temp\778.exe (Backdoor.Bot) -> No action taken. c:\documents and settings\Евгений\local settings\temporary internet files\Content.IE5\2EO6CK0J\bf95dhd[1].exe (Trojan.Agent) -> No action taken. c:\documents and settings\Евгений\local settings\temporary internet files\Content.IE5\2EO6CK0J\bnet[1].exe (Backdoor.Bot) -> No action taken. c:\RECYCLER\s-1-5-21-8098683632-5083331626-442963771-4967\csisd.exe (Trojan.Agent) -> No action taken. c:\RECYCLER\s-1-5-21-8159650519-8832196046-170009660-4202\csisd.exe (Trojan.Agent) -> No action taken. c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811\Desktop.ini (Trojan.Agent) -> No action taken.
После перезагрузки:Код:begin DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); DeleteFileMask('c:\documents and settings\Евгений\local settings\temporary internet files\Content.IE5', '*.*', true); RebootWindows(true); end.
- Сделайте повторный лог MBAM
Повторный лог в аттаче.
Как убить вирусы что на 3 флэшках остались, и при этом повторно не заразить комп? Через безопасный режим касперским?
Последний раз редактировалось Simpetus; 26.12.2010 в 20:32.
1. Втыкайте флэшку, удерживая клавишу Shift, тогда автозапуск не сработает.
2. Запустите Проводник, включите показ скрытых и системных файлов и папок.
3. Открывайте флэшку, выбирая ее в левой части окна Проводника, где дерево каталогов, но ни в коем случае не двойным щелчком в правой!
4. Удаляйте все чуждое.
5. Не забудьте про безопасное отключение.
Если использовать файловый менеджер вроде Far или TC, то все еще проще и безопаснее.
I am not young enough to know everything...
Блин. У меня повторное заражение, похоже. Ещё и ноутбук заболел(его логи потом выложу, отдельно. Сначала хотя бы основной нормально вылечить). Сейчас при загрузке открывается пустой экран, с папкой мои документы.
Логи внизу.
P.S.: Когда мы в прошлый раз излечили, всё равно остался один большой косяк, если долго работать с "буфером обмена"(я работаю со словарями, поэтому постоянно пользуюсь вырезать\вставить), то постоянно зависает explorer и кроме перезагрузки ничего не помогает.
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:O4 - HKLM\..\Run: [Taskman] C:\RECYCLER\S-1-5-21-5214410879-1125291792-811293522-8679\csisf.exe O4 - HKCU\..\Run: [Shell] explorer.exe,C:\RECYCLER\S-1-5-21-9101397076-2833864302-557527447-3633\csisf.exe O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\ggdrive32.exe
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\ggdrive32.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-5214410879-1125291792-811293522-8679\csisf.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-9101397076-2833864302-557527447-3633\csisf.exe',''); QuarantineFile('C:\Documents and Settings\Евгений\Application Data\bowcav.exe',''); DeleteFile('C:\Documents and Settings\Евгений\Application Data\bowcav.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-5214410879-1125291792-811293522-8679\csisf.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-9101397076-2833864302-557527447-3633\csisf.exe'); DeleteFile('C:\WINDOWS\ggdrive32.exe'); DeleteFileMask( 'c:\documents and settings\Евгений\local settings\Temp', '*.*',true); DeleteFileMask( 'c:\documents and settings\Евгений\local settings\temporary internet files\Content.IE5', '*.*',true); DeleteFileMask( 'c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5', '*.*',true); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('catchme'); BC_DeleteSvc('GarenaPEngine'); BC_DeleteSvc('IntcAzAudAddService'); BC_DeleteSvc('MagicTune'); BC_DeleteSvc('RegKernelHelp'); BC_DeleteSvc('TVICHW32'); BC_DeleteSvc('UIUSys'); BC_Activate; RegKeyParamDel('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman'); RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=94241).
Сделайте новые логи.
I am not young enough to know everything...
Логи
На вид всё спокойно. Осталось несколько проблем(не знаю из-за вирусов они или нет):
1. Не удаётся открыть "Установка компонентов Windows". Выскакивает сообщение об ошибке, с текстом "Не удаётся загрузить библиотеку установки msgrocm.dll или не удаётся найти раздел ОсEntry. Обратитесь за помощью к администратору. Код ошибки 0x7e"
2. При открытии папки с видео файлами, происходит зависание процесса "explorer". В диспетчере задач загрузка процессора этим процессом доходит до 90 процентов. Помогает только принудительное закрытие процесса.
Как с этим бороться, понятия не имею.
Буду благодарен за любую помощь.
Спасибо
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
80 мегов. flv видео
выполнение команды:
regsvr32 /u shmedia.dll
не помогает, всё так же. При входе в папку, копировании, перетаскивании, explorer зависает.
Нет. Не помогло. Самое интересное что через total commander всё нормально, и переносится, и открывается. А если через стандартный эксплорер открыть, даже если ничего не делать, а просто открыть, сразу появляются зависания. Мистика, какая-то.
Кстати, как можно узнать, правильно ли работает буфер обмена? Поскольку я часто пользуюсь копировать\вставить при работе с lingvo. На определённом моменте, lingvo зависает, ну и вся система следом за ним.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Перенести то перенёс. Но в новой папке проблема тоже сохраняется. Кроме того, если долго использовать функции копии\вставки, происходит полное зависание компьютера.
Уважаемый(ая) Simpetus, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.