Printable View
Компьютер заражен, в безопасном режиме не грузился. При подключении к Интернету самопроизвольно перегружался. Почистил вирусы, нашел кучу троянов, бекдоров. Сейчас в безопасном режиме работает. Нет на экране клавиши Пуск и TaskBar в одну строчку. Не могу отключить восстановление системы. AVZ не запускается ни в обычном, ни в безопасном режиме. Переименование не помогает. Когда-то видел специальную утилиту AVZ для этого, но не нашел пока. Мог сделать только лог HiJackThis. Его и высылаю.
Уважаемый(ая) [B]StepIn[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/donate/"]поддержите проект[/URL].
Здравствуйте.
Попробуйте так:
1. Скачайте [URL="http://z-oleg.com/avz.exe"]такой AVZ[/URL].
2. Переименуйте его и попытайтесь запустить.
3. Если не выйдет, создайте ярлык к AVZ (нажатие правой клавишей мыши по иконке AVZ->Создать ярлык (Create Shortcut)). Откройте свойства ярлыка, в поле "Объект" (Target) припишите к исходному значению строку:
AM=Y AG=Y
Попытайтесь запустить AVZ.
Спасибо за ссылку. Скаченный AVZ запустился без переименования. Не запускается IE.
Вот логи. Проверьте, пожалуйста.
[B]StepIn[/B], здравствуйте.
1. Закройте все открытые приложения (программы), кроме АVZ и браузера (Mozilla Firefox, Opera, Google Chrome, Internet Explorer).
Отключите:
- ПК от интернета/локальной сети;
- [COLOR="Red"][B]Обязательно!!! Отключить системное восстановление!!![/B][/COLOR] как - [URL="http://virusinfo.info/pravila.html"]посмотреть можно здесь[/URL] (по окончанию лечения включите);
- Выгрузите антивирус и/или Файрвол;
- [URL="http://virusinfo.info/showpost.php?p=64376&postcount=1"]Пофиксите в HJT[/URL]:
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\55715220.exe,C:\WINDOWS\system32\qxnzjt.exe,
O4 - HKLM\..\Run: [781943.exe] "C:\DOCUME~1\Admin\LOCALS~1\Temp\781943.exe"
O4 - HKCU\..\Run: [YDZ1QVAGOJ] C:\DOCUME~1\Admin\LOCALS~1\Temp\Dqr.exe
O4 - HKCU\..\Run: [W1WIWQ1NPG] C:\DOCUME~1\Admin\LOCALS~1\Temp\Dqw.exe
O4 - HKCU\..\Run: [MSConfig] C:\Documents and Settings\Admin\cqd.exe \u
O4 - HKCU\..\Run: [Yfknkl] C:\Documents and Settings\Admin\Application Data\Yfknkl.exe
O4 - HKUS\S-1-5-21-1202660629-1085031214-1606980848-500\..\Run: [YDZ1QVAGOJ] C:\DOCUME~1\Admin\LOCALS~1\Temp\Dqr.exe (User '?')
O4 - HKUS\S-1-5-21-1202660629-1085031214-1606980848-500\..\Run: [W1WIWQ1NPG] C:\DOCUME~1\Admin\LOCALS~1\Temp\Dqw.exe (User '?')
O4 - HKUS\S-1-5-21-1202660629-1085031214-1606980848-500\..\Run: [MSConfig] C:\Documents and Settings\Admin\cqd.exe \u (User '?')
O4 - HKUS\S-1-5-21-1202660629-1085031214-1606980848-500\..\Run: [Yfknkl] C:\Documents and Settings\Admin\Application Data\Yfknkl.exe (User '?')[/CODE]
- [URL="http://virusinfo.info/showpost.php?p=88804&postcount=1"]Выполните скрипт в AVZ[/URL] ("Файл - Выполнить скрипт" или в англ.версии "File - Custom scripts"). Скопируйте текст кода и вставьте в окно, нажмите "Выполнить (Run)":
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\781943.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Dqw.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\Yfknkl.exe','');
QuarantineFile('C:\Documents and Settings\Admin\cqd.exe','');
QuarantineFile('C:\WINDOWS\system32\55715220.exe','');
QuarantineFile('C:\WINDOWS\system32\qxnzjt.exe','');
QuarantineFile('C:\WINDOWS\system32\schannel.dll','');
QuarantineFile('C:\WINDOWS\system32\sshnas21.dll','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Dqr.exe','');
QuarantineFile('C:\WINDOWS\svchost.exe','');
DeleteFile('C:\WINDOWS\svchost.exe');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Dqr.exe');
DeleteFile('C:\WINDOWS\system32\qxnzjt.exe');
DeleteFile('C:\WINDOWS\system32\55715220.exe');
DeleteFile('C:\Documents and Settings\Admin\cqd.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Yfknkl.exe');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Dqw.exe');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\781943.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{1C1EDB47-CE22-4bbb-B608-77B48F83C823}');
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
ExecuteWizard('TSW',2,3,true);
ExecuteWizard('SCU',2,2,true);
RebootWindows(true);
end.[/CODE]
Компьютер перезагрузится.
2. После перезагрузки выполните такой скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
3. Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из корня папки AVZ загрузите по ссылке "[COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR]" вверху темы;
4. Сделайте повторные логи [URL="http://virusinfo.info/pravila.html"]по правилам[/URL] п.2 и п.3 раздела "[COLOR="Blue"]Диагностика[/COLOR]" (virusinfo_syscheck.zip; hijackthis.log).
5. Сделайте [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"]лог полного сканирования MBAM[/URL].
Уже и обычный AVZ запускается. Не могу отключить восстановление системы. Во время отключения выдает ошибку включения-отключения восстановления системы. Не могу стартануть IE. Поэтому логии делал без IE и включенной системой восстановления. Установился, но при запуске дает ошибку контрола. Пофиксил HiJackThis. Выполнил скрипт. Вот логи.
Карантин выслал:
Файл сохранён как 110628_105756_quarantine_4e09b3b476126.zip
Размер файла 285306
MD5 6c2c2ee5196dae48f7f6917502484a29
Выполните скрипт в AVZ:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Dqr.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
Компьютер перезагрузится.
Сделайте повторный лог [B]virusinfo_syscheck.zip[/B].
Сделайте [URL="http://virusinfo.info/showthread.php?t=53070"]лог MBAM[/URL].
Проверьте наличие файла
[B]C:\WINDOWS\System32\svchost.exe[/B]
Установился MBAM, но при запуске дает ошибку контрола.
Действительно не было файла svchost.exe. Скопировал. Появилася TaskBar и Пуск. Нормально запустился MBAM. Выполнил скрипт. Вот логи. Не запускается IE по прежнему.
[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в MBAM[/URL]:
[CODE]Зараженные ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\W1WIWQ1NPG (Trojan.FakeAlert.SA) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\YDZ1QVAGOJ (Trojan.FakeAlert.SA) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\idgbn5xehg (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SRVSYSDRIVER32 (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> No action taken.
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Value: option_1 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Value: option_2 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Value: option_3 -> No action taken.
Объекты реестра заражены:
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: (regedit.exe %1) Good: (regedit.exe "%1") -> No action taken.
Зараженные файлы:
c:\WINDOWS\Drelac.exe (Trojan.FraudPack.Gen) -> No action taken.
c:\WINDOWS\Drelad.exe (Trojan.FraudPack.Gen) -> No action taken.
c:\WINDOWS\Drelae.exe (Trojan.FraudPack.Gen) -> No action taken.
c:\WINDOWS\Drelaf.exe (Trojan.FraudPack.Gen) -> No action taken.
c:\WINDOWS\Drelag.exe (Trojan.FraudPack.Gen) -> No action taken.
c:\WINDOWS\Drelah.exe (Trojan.FraudPack.Gen) -> No action taken.
c:\WINDOWS\Drelai.exe (Trojan.FraudPack.Gen) -> No action taken.
c:\WINDOWS\Drelaj.exe (Trojan.FraudPack.Gen) -> No action taken.
c:\WINDOWS\Drelak.exe (Trojan.FraudPack.Gen) -> No action taken.
c:\documents and settings\Admin\application data\3.exe (Trojan.Agent) -> No action taken.
c:\program files\common files\keylog.txt (Malware.Trace) -> No action taken.
d:\правила дорожнього руху-украина_10992-.zip.exe (Adware.Agent) -> No action taken.
[/CODE]
Сделайте повторный лог MBAM.
Сделайте лог HijackThis.
Восстановите IE [URL="http://virusinfo.info/showthread.php?t=93621"]так[/URL].
Вот новые логи.
Что с проблемой?
Интернет есть. Система грузится нормально. Сейчас пробую переустановить ie.
IE работает. Не запускается оснастка Computer Management. Вот новый лог MBAM. Почему-то опять заражен svchost.exe. Что надо пофиксить?
c:\WINDOWS\svchost.exe (Trojan.Agent) -> No action taken. удалите
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]22[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\svchost.exe - [B]Virus.Win32.Hidrag.a[/B] ( DrWEB: Win32.HLLP.Jeefo.36352, BitDefender: Win32.Jeefo.B, NOD32: Win32/Jeefo.A virus, AVAST4: Win32:Jeefo )[/LIST][/LIST]