Доброй ночи.Где то подхватил заразу,я так понял червя.Убить не получается, Авира находит удаляет и по новой.Переустановка системы с полным форматированием винта и новой разбивкой не помогла.Помогите пожалуйста избавиться от этой напасти...
Printable View
Доброй ночи.Где то подхватил заразу,я так понял червя.Убить не получается, Авира находит удаляет и по новой.Переустановка системы с полным форматированием винта и новой разбивкой не помогла.Помогите пожалуйста избавиться от этой напасти...
Уважаемый(ая) [B]stydent@gmail[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/donate/"]поддержите проект[/URL].
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\crssc.exe','');
QuarantineFile('C:\WINDOWS\system32\63.exe','');
QuarantineFile('C:\WINDOWS\system32\60.exe','');
QuarantineFile('C:\WINDOWS\system32\57.exe','');
QuarantineFile('C:\WINDOWS\system32\38.exe','');
QuarantineFile('G:\autorun.inf','');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
QuarantineFile('C:\WINDOWS\aadrive32.exe','');
QuarantineFile('C:\WINDOWS\jodrive32.exe','');
QuarantineFile('C:\Documents and Settings\NetworkService\Application Data\Dudedh.exe','');
TerminateProcessByName('c:\windows\aadrive32.exe');
QuarantineFile('c:\windows\aadrive32.exe','');
DeleteFile('c:\windows\aadrive32.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Dudedh');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Dudedh');
DeleteFile('C:\Documents and Settings\NetworkService\Application Data\Dudedh.exe');
DeleteFile('C:\WINDOWS\jodrive32.exe');
DeleteFile('C:\WINDOWS\aadrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Config Setup');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
DeleteFile('G:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\20.exe');
DeleteFile('C:\WINDOWS\system32\38.exe');
DeleteFile('C:\WINDOWS\system32\57.exe');
DeleteFile('C:\WINDOWS\system32\60.exe');
DeleteFile('C:\WINDOWS\system32\63.exe');
DeleteFile('C:\WINDOWS\system32\crssc.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]
После обновления:
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscheck.zip;hijackthis.log[/COLOR])
- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]
Файл quarantine.zip отправил раннее а остальное вот:
P.S И почему то на флешке тип у всех папок lnk,при попытке открыть пишет ошибку. Но все папки продублировались в скрытые и там нормально открываются:O
- [URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]удалите[/URL] в [B]MBAM[/B]
[CODE]
Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
Заражённые папки:
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> No action taken.
Заражённые файлы:
c:\documents and settings\Admin\application data\10.tmp (Malware.Gen) -> No action taken.
c:\documents and settings\Admin\application data\11.tmp (Trojan.Downloader) -> No action taken.
c:\documents and settings\Admin\application data\1B.tmp (Malware.Gen) -> No action taken.
c:\documents and settings\Admin\application data\1C.tmp (Trojan.Downloader) -> No action taken.
c:\documents and settings\Admin\application data\248.tmp (Malware.Gen) -> No action taken.
c:\documents and settings\Admin\application data\249.tmp (Trojan.Downloader) -> No action taken.
c:\documents and settings\Admin\application data\6.tmp (Malware.Gen) -> No action taken.
c:\documents and settings\Admin\application data\7.tmp (Trojan.Downloader) -> No action taken.
c:\documents and settings\Admin\application data\8.tmp (Malware.Gen) -> No action taken.
c:\documents and settings\Admin\application data\9.tmp (Trojan.Downloader) -> No action taken.
c:\documents and settings\Admin\application data\Xsdedb.exe (Malware.Gen) -> No action taken.
c:\documents and settings\localservice\local settings\temporary internet files\Content.IE5\IE5YFI28\logo[1].gif (Extension.Mismatch) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\4UZL9ME4\202[1].exe (Malware.Gen) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\4UZL9ME4\202[2].exe (Malware.Gen) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\4UZL9ME4\b[1].exe (Malware.Gen) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\IE5YFI28\b[1].exe (Malware.Gen) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\IE5YFI28\qmyms[1].exe (Malware.Gen) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\IE5YFI28\qmyms[2].exe (Malware.Gen) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\PYBX95JT\b[1].exe (Malware.Gen) -> No action taken.
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFileMask('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5', '*.*', true);
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]
Доброй ночи.В корне диска С/ появилось 2 файла:
DriverPack_LAN_wnt5_x86-32.ini
DriverPack_MassStorage_wnt5_x86-32.ini
и остался какой то непонятный pdfs.exe
Система работает стабильно.Спасибо
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('c:\pdfs.exe','');
DeleteFile('c:\pdfs.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
Выслал
[B]P2P-Worm.Win32.Palevo.ctzp[/B]
Удаляйте файл
[QUOTE=thyrex;792159][B]P2P-Worm.Win32.Palevo.ctzp[/B]
Удаляйте файл[/QUOTE]
Неподскажите где его найти?
:)
Не заметил, что его скриптом удалили
Что с проблемой?
Всё гуд.спасибо!!!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]33[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\networkservice\\application data\\dudedh.exe - [B]P2P-Worm.Win32.Palevo.ctzp[/B] ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Generic.KDV.232372, NOD32: Win32/Dorkbot.A worm, AVAST4: Win32:Malware-gen )[*] c:\\pdfs.exe - [B]P2P-Worm.Win32.Palevo.ctzp[/B] ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Generic.KDV.232372, NOD32: Win32/Dorkbot.A worm, AVAST4: Win32:Malware-gen )[*] c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\acleaner.exe - [B]Backdoor.Win32.Floder.hs[/B] ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Backdoor.Generic.677443, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Malware-gen )[*] c:\\windows\\aadrive32.exe - [B]Backdoor.Win32.Floder.hs[/B] ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Backdoor.Generic.670618, NOD32: IRC/SdBot trojan, AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\crssc.exe - [B]Net-Worm.Win32.Kolab.acem[/B] ( DrWEB: BackDoor.IRC.Sdbot.15765, BitDefender: Trojan.Generic.6208851, NOD32: Win32/AutoRun.IRCBot.HY worm, AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\38.exe - [B]Trojan.Win32.Menti.gnfq[/B] ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Fakealert.26395, NOD32: IRC/SdBot trojan, AVAST4: Win32:Downloader-FWH [Trj] )[*] c:\\windows\\system32\\57.exe - [B]Trojan.Win32.Menti.gnfq[/B] ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Fakealert.26395, NOD32: IRC/SdBot trojan, AVAST4: Win32:Downloader-FWH [Trj] )[*] c:\\windows\\system32\\60.exe - [B]Backdoor.Win32.Floder.hs[/B] ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Backdoor.Generic.677443, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\63.exe - [B]Backdoor.Win32.Floder.hs[/B] ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Backdoor.Generic.677443, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Malware-gen )[/LIST][/LIST]