Выполните правила раздела http://virusinfo.info/pravila.html
Запускать скрипты лечения предназначенные не для вашей машины запрещено!
Важное замечание
Пожалуйста, не выполняйте скрипты лечения, написанные для других пользователей. Каждый случай уникален, Вы можете нанести вред и Вашему компьютеру, и нашему сервису. За последствия, наступившие в случае невыполнения данного пункта, портал VirusInfo ответственности не несет! В данном случае администрация ресурса имеет право отказать в оказании помощи без пояснения причин.
Paula rhei.
Поддержать проект можно тут
все сделал, но вот только почему то нету virusinfo_syscure.zip в папке log
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\11.exe',''); QuarantineFile('C:\Program Files\pchd\PCHDPlayer.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1457\system.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1417\systm.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe',''); QuarantineFile('C:\Documents and Settings\Влад\Application Data\ltzqai.exe',''); DeleteFile('C:\Documents and Settings\Влад\Application Data\ltzqai.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1417\systm.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1457\system.exe'); DeleteFile('C:\Program Files\pchd\PCHDPlayer.exe'); DeleteFile('C:\WINDOWS\system32\11.exe'); QuarantineFile('C:\Documents and Settings\Влад\Application Data\bowcav.exe',''); DeleteFile('C:\Documents and Settings\Влад\Application Data\bowcav.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman '); DeleteFileMask('C:\Program Files\pchd', '*.*', true); DeleteDirectory('C:\Program Files\pchd'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(11); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторный лог virusinfo_syscheck.zip;
- Сделайте лог Gmer
- Сделайте лог MBAM
сделал
- Сохраните текст ниже как 1.bat в ту же папку, где находится 1yopjhkr.exe (GMER) и запустите этот батник(1.bat):
Компьютер перезагрузится.Код:1yopjhkr.exe -del service umcqab 1yopjhkr.exe -del file "C:\WINDOWS\system32\nurmtmoo.dll" 1yopjhkr.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\umcqab" 1yopjhkr.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\umcqab" 1yopjhkr.exe -reboot
После перезагрузки:
- Профиксите в HijackThis
- Выполните скрипт в AVZКод:R3 - URLSearchHook: (no name) - - (no file)
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('C:\WINDOWS\system32\Paint.exe',''); QuarantineFile('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\40ZQY71A\x1863[1].exe',''); QuarantineFile('d:\system volume information\_restore{0962a307-77dc-4aa1-8041-ffef35af091a}\RP38\A0095952.exe',''); DeleteFile('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\40ZQY71A\x1863[1].exe'); DeleteFile('d:\system volume information\_restore{0962a307-77dc-4aa1-8041-ffef35af091a}\RP38\A0095952.exe'); DeleteFileMask('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5', '*.*', true); CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- удалите в MBAM оставшееся из этого
- Сделайте повторный лог virusinfo_syscheck.zip;Код:Заражённые ключи в реестре: HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken. Заражённые файлы: c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\40ZQY71A\x1863[1].exe (Trojan.Agent) -> No action taken. d:\system volume information\_restore{0962a307-77dc-4aa1-8041-ffef35af091a}\RP38\A0095952.exe (Malware.Packer.Gen) -> No action taken.
- Сделайте повторный лог MBAM
вот
на счет загрузки карантина по ссылке вверху тему, то выдает ошибку что фаил уже загружен
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('btxgci.sys',''); DeleteFile('btxgci.sys'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторный лог virusinfo_syscheck.zip;
сделал
подозрительного нет.
Обновите систему
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
большое спасибо за помощь)
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 17
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\влад\\application data\\bowcav.exe - Packed.Win32.Krap.ig ( DrWEB: Win32.HLLW.Autoruner.22584, BitDefender: Trojan.Generic.KDV.106228, NOD32: Win32/Bflient.K worm, AVAST4: Win32:Trojan-gen )
Уважаемый(ая) furyextreme, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.