Проверил компьютер и удалил множество вирусов разного типа, но всё равно остались подозрения. Автообновление не работает, сайты антивирусов открываются только через прокси, и т.д. и т.п.
Printable View
Проверил компьютер и удалил множество вирусов разного типа, но всё равно остались подозрения. Автообновление не работает, сайты антивирусов открываются только через прокси, и т.д. и т.п.
Уважаемый(ая) [B]-brad-[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/donate/"]поддержите проект[/URL].
Здравствуйте.
Отключите:
-ПК от интернета
-Все защитные приложения
Подключите:
-Диск I
Выполните скрипт в AVZ:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('H:\WINDOWS\system32\xuovqs.exe','');
QuarantineFile('H:\WINDOWS\system32\dlqbjq.exe','');
QuarantineFile('H:\WINDOWS\system32\86c1bc41.exe','');
QuarantineFile('H:\WINDOWS\system32\4b7c39d6.exe','');
QuarantineFile('H:\WINDOWS\sysdriver32_.exe','');
QuarantineFile('H:\WINDOWS\sysdriver32.exe','');
QuarantineFile('H:\WINDOWS\services32.exe','');
QuarantineFile('H:\Program Files\VPets\VPets.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
QuarantineFile('I:\autorun.inf','');
QuarantineFile('I:\Autorun.exe','');
QuarantineFile('H:\Program Files\pchd\PCHDPlayer.exe','');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
DeleteFile('H:\Program Files\VPets\VPets.exe');
DeleteFile('H:\WINDOWS\services32.exe');
DeleteFile('H:\WINDOWS\sysdriver32.exe');
DeleteFile('H:\WINDOWS\sysdriver32_.exe');
DeleteFile('H:\WINDOWS\system32\4b7c39d6.exe');
DeleteFile('H:\WINDOWS\system32\86c1bc41.exe');
DeleteFile('H:\WINDOWS\system32\dlqbjq.exe');
DeleteFile('H:\WINDOWS\system32\xuovqs.exe');
DeleteFile('H:\Program Files\pchd\PCHDPlayer.exe');
DeleteFile('I:\Autorun.exe');
DeleteFile('I:\autorun.inf');
DeleteFileMask('H:\Program Files\VPets', '*.*', true);
DeleteFileMask('H:\Program Files\pchd', '*.*', true);
DeleteDirectory('H:\Program Files\VPets');
DeleteDirectory('H:\Program Files\pchd');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','VPetsPlayer');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wxpdrv');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysdriver32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysdriver32_.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PCHDPlayer');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(10);
ExecuteRepair(4);
ExecuteRepair(20);
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Затем выполните ещё один скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "[B][COLOR="Red"][U]Прислать запрошенный карантин[/U][/COLOR][/B]" наверху темы).
У Вас на компьютере два антивируса. Оставьте только один - либо KAV 2012, либо Microsoft Security Essentials.
Какие браузеры установлены в системе?
Откройте все установленые браузеры и сделайте повторные логи.
Скрипты выполнил и карантин отправил. Антивирус был изначально один Microsoft Security Essentials, но когда он перестал работать я попытался установить KAV 2012 ни то ни другое не работает. От MSE осталась одна папка, KAV 2012 я удалил тоже. Браузеров 3 (IE, Firefox, Opera) запустил и логи сделал повторно.
Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
Сделал полное сканирование MBAM, вот логи.
Удалите в mbam:
[CODE]
Зараженные ключи в реестре:
HKEY_CURRENT_USER\Software\winxarj (Hoax.ArchSMS) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wxpdrivers (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\wxpdrivers (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SRVSYSDRIVER32 (Trojan.Agent) -> No action taken.
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Value: option_1 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Value: option_2 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Value: option_3 -> No action taken.
Зараженные папки:
h:\program files\common files\wm\keys (Trojan.KeyLog) -> No action taken.
h:\documents and settings\Admin\application data\winxrar (Trojan.Agent) -> No action taken.
Зараженные файлы:
h:\documents and settings\Admin\application data\avdrn.dat (Malware.Trace) -> No action taken.
h:\program files\common files\keylog.txt (Malware.Trace) -> No action taken.
h:\WINDOWS\system32\fjhdyfhsn.bat (Malware.Trace) -> No action taken.
h:\documents and settings\Admin\application data\winxrar\after.png (Trojan.Agent) -> No action taken.
h:\documents and settings\Admin\application data\winxrar\dir.png (Trojan.Agent) -> No action taken.
h:\documents and settings\Admin\application data\winxrar\dot.gif (Trojan.Agent) -> No action taken.
h:\documents and settings\Admin\application data\winxrar\htmlayout (Trojan.Agent) -> No action taken.
h:\documents and settings\Admin\application data\winxrar\htmlayout.dll (Trojan.Agent) -> No action taken.
h:\documents and settings\Admin\application data\winxrar\logo.png (Trojan.Agent) -> No action taken.
h:\documents and settings\Admin\application data\winxrar\logo2.png (Trojan.Agent) -> No action taken.
h:\documents and settings\Admin\application data\winxrar\myriadwebpro-condensed.ttf (Trojan.Agent) -> No action taken.
h:\documents and settings\Admin\application data\winxrar\rules.css (Trojan.Agent) -> No action taken.
h:\documents and settings\Admin\application data\winxrar\sb-h-scroll-next.png (Trojan.Agent) -> No action taken.
h:\documents and settings\Admin\application data\winxrar\sb-h-scroll-prev.png (Trojan.Agent) -> No action taken.
h:\documents and settings\Admin\application data\winxrar\sb-scroll-back.png (Trojan.Agent) -> No action taken.
h:\documents and settings\Admin\application data\winxrar\sb-scroll-base.png (Trojan.Agent) -> No action taken.
h:\documents and settings\Admin\application data\winxrar\sb-scroll-slider.png (Trojan.Agent) -> No action taken.
h:\documents and settings\Admin\application data\winxrar\sb-v-scroll-next.png (Trojan.Agent) -> No action taken.
h:\documents and settings\Admin\application data\winxrar\sb-v-scroll-prev.png (Trojan.Agent) -> No action taken.
h:\documents and settings\Admin\application data\winxrar\scroll.css (Trojan.Agent) -> No action taken.
h:\documents and settings\Admin\application data\winxrar\sview (Trojan.Agent) -> No action taken.
h:\documents and settings\Admin\application data\winxrar\winxrar (Trojan.Agent) -> No action taken.
h:\documents and settings\Admin\application data\winxrar\xsendexe.tmp (Trojan.Agent) -> No action taken.
[/CODE]
После перезагрузки повторите лог mbam
Удалил и сделал новые логи.
Проблема решена?
Да, всё работает нормально. Спасибо всем. Тему можно закрывать.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]26[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]