В диспетчере задач очень много лишних файлов, подозреваю на вирусы + загрузка безопасного режима довольно странная. После загрузки в безопасном режиме комп сам перезагружается через пару минут.
Printable View
В диспетчере задач очень много лишних файлов, подозреваю на вирусы + загрузка безопасного режима довольно странная. После загрузки в безопасном режиме комп сам перезагружается через пару минут.
Уважаемый(ая) [B]Tirus[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Windows\ufa\ufa.exe','');
QuarantineFile('C:\Windows\update.1\svchost.exe','');
QuarantineFile('C:\Windows\update.tray-8-0\svchost.exe','');
QuarantineFile('C:\Windows\update.tray-15-0\svchost.exe','');
QuarantineFile('C:\Windows\update.3\svchost.exe','');
QuarantineFile('C:\Windows\systemup.exe','');
QuarantineFile('C:\Windows\sysdriver32_.exe','');
QuarantineFile('C:\Windows\services32.exe','');
QuarantineFile('C:\Windows\l1rezerv.exe','');
QuarantineFile('C:\Windows\Temp\77499622-loader2.exe','');
QuarantineFile('C:\Windows\Temp\7465470.exe','');
QuarantineFile('C:\Windows\Temp\6170791.exe','');
QuarantineFile('C:\Windows\Temp\5183364.exe','');
DeleteFileMask('C:\Windows\Temp','*.exe',false);
QuarantineFile('C:\Users\Alex\nlevd.exe','');
QuarantineFile('C:\Users\Alex\AppData\Roaming\Kolyli.exe','');
QuarantineFile('C:\Users\Alex\AppData\Local\Temp\6392824.exe','');
QuarantineFile('C:\Users\Alex\AppData\Local\Temp\58759231-loader2.exe','');
QuarantineFile('C:\Windows\sysdriver32.exe','');
DeleteService('srvsysdriver32');
QuarantineFile('C:\Windows\update.2\svchost.exe','');
DeleteService('srviecheck');
QuarantineFile('C:\Windows\update.5.0\svchost.exe','');
DeleteService('srvbtcclient');
QuarantineFile('C:\Windows\update.7.1\svchostdriver.exe','');
DeleteService('ddservice');
QuarantineFile('C:\Program Files\Bandoo\Bandoo.exe','');
TerminateProcessByName('c:\windows\ufa\ufa.exe');
TerminateProcessByName('c:\windows\systemup.exe');
TerminateProcessByName('c:\windows\sysdriver32.exe');
TerminateProcessByName('c:\windows\update.7.1\svchostdriver.exe');
TerminateProcessByName('c:\windows\update.tray-15-0\svchost.exe');
TerminateProcessByName('c:\windows\update.tray-8-0\svchost.exe');
TerminateProcessByName('c:\windows\update.1\svchost.exe');
TerminateProcessByName('c:\windows\update.2\svchost.exe');
TerminateProcessByName('c:\windows\update.3\svchost.exe');
TerminateProcessByName('c:\windows\update.5.0\svchost.exe');
TerminateProcessByName('c:\windows\l1rezerv.exe');
QuarantineFile('c:\program files\bandoo\bandoo.exe','');
DeleteFile('C:\Windows\update.7.1\svchostdriver.exe');
DeleteFile('C:\Windows\update.5.0\svchost.exe');
DeleteFile('C:\Windows\update.2\svchost.exe');
DeleteFile('C:\Windows\sysdriver32.exe');
DeleteFile('C:\Users\Alex\AppData\Local\Temp\58759231-loader2.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','58759231-loader2.exe');
DeleteFile('C:\Users\Alex\AppData\Local\Temp\6392824.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','6392824.exe');
DeleteFile('C:\Users\Alex\AppData\Roaming\Kolyli.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Kolyli');
DeleteFile('C:\Users\Alex\nlevd.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSConfig');
DeleteFile('C:\Windows\Temp\5183364.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','5183364.exe');
DeleteFile('C:\Windows\Temp\6170791.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','6170791.exe');
DeleteFile('C:\Windows\Temp\7465470.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','7465470.exe');
DeleteFile('C:\Windows\Temp\77499622-loader2.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','77499622-loader2.exe');
DeleteFile('C:\Windows\l1rezerv.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','l1rezerv.exe');
DeleteFile('C:\Windows\services32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wxpdrv');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysdriver32.exe');
DeleteFile('C:\Windows\sysdriver32_.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysdriver32_.exe');
DeleteFile('C:\Windows\systemup.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','systemup');
DeleteFile('C:\Windows\update.3\svchost.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','w_distrib.exe');
DeleteFile('C:\Windows\update.tray-15-0\svchost.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico1');
DeleteFile('C:\Windows\update.tray-8-0\svchost.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico0');
ClearHostsFile;
DeleteFile('C:\Windows\update.1\svchost.exe');
DeleteFile('C:\Windows\ufa\ufa.exe');
DeleteFileMask('C:\Windows\Temp','*.exe',false);
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
Файл [B]quarantine.zip[/B] загрузите [URL=http://virusinfo.info/upload_virus.php?tid=108060][B]сюда[/B][/URL]
Сделайте новые логи.
А также
Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]
Сделал снанирование Mbam и пофиксил там, вроде все гут. ComboFix не ставил, есть ли необходимость? Если да, то сделаю.
Можно обойтись
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]20[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\users\\alex\\appdata\\roaming\\kolyli.exe - [B]Trojan-Dropper.Win32.Injector.bvj[/B] ( DrWEB: Trojan.PWS.Multi.226, BitDefender: Worm.Generic.341212, AVAST4: Win32:Downloader-JUA [Trj] )[*] c:\\users\\alex\\nlevd.exe - [B]Packed.Win32.Katusha.o[/B] ( DrWEB: BackDoor.Tofsee.7, BitDefender: Gen:Variant.Kazy.7882, NOD32: Win32/Tofsee.AA trojan, AVAST4: Win32:MalOb-FJ [Cryp] )[*] c:\\windows\\l1rezerv.exe - [B]Trojan.Win32.Scar.ejfa[/B] ( DrWEB: Trojan.DownLoad2.32154, BitDefender: Trojan.Generic.6348780, NOD32: Win32/TrojanDownloader.Delf.QSA trojan, AVAST4: Win32:Delf-QBF [Trj] )[*] c:\\windows\\services32.exe - [B]Trojan-PSW.Win32.VKont.bjc[/B] ( DrWEB: BackDoor.VkBase.47, BitDefender: Generic.Malware.SFPYVdPkTkWkg.64E22ACF, AVAST4: Win32:Delf-QBF [Trj] )[*] c:\\windows\\sysdriver32.exe - [B]Trojan.Win32.Scar.ejki[/B] ( DrWEB: Trojan.DownLoader4.22959, BitDefender: Trojan.Generic.KDV.303925, AVAST4: Win32:Delf-QBF [Trj] )[*] c:\\windows\\sysdriver32_.exe - [B]Trojan.Win32.Scar.ejki[/B] ( DrWEB: Trojan.DownLoader4.22959, BitDefender: Trojan.Generic.KDV.303925, AVAST4: Win32:Delf-QBF [Trj] )[*] c:\\windows\\systemup.exe - [B]Trojan.Win32.Scar.ergb[/B] ( DrWEB: Trojan.KillProc.11797, BitDefender: Trojan.Generic.KDV.340188, NOD32: Win32/TrojanDownloader.Delf.QVZ trojan, AVAST4: Win32:Krajabot-H [Trj] )[*] c:\\windows\\temp\\5183364.exe - [B]Trojan.Win32.Scar.eajx[/B] ( DrWEB: Trojan.KillProc.8870, BitDefender: Trojan.Agent.ASEX, NOD32: Win32/TrojanDownloader.Delf.QCY trojan, AVAST4: Win32:Delf-QBF [Trj] )[*] c:\\windows\\temp\\6170791.exe - [B]Trojan.Win32.Scar.ejki[/B] ( DrWEB: Trojan.DownLoader4.22959, BitDefender: Trojan.Generic.KDV.303925, AVAST4: Win32:Delf-QBF [Trj] )[*] c:\\windows\\temp\\7465470.exe - [B]Trojan.Win32.Swisyn.bsrb[/B] ( DrWEB: Trojan.Siggen3.55506, BitDefender: Trojan.Generic.7379118, AVAST4: Win32:Malware-gen )[*] c:\\windows\\temp\\77499622-loader2.exe - [B]Trojan.Win32.Scar.eiyy[/B] ( DrWEB: Trojan.DownLoader4.20314, BitDefender: DeepScan:Generic.Malware.SFTkg.FDAA9EF6, AVAST4: Win32:Delf-QBF [Trj] )[*] c:\\windows\\ufa\\ufa.exe - [B]not-a-virus:RiskTool.Win32.BitCoinMiner.a[/B] ( DrWEB: Tool.BtcMine.1 )[*] c:\\windows\\update.tray-15-0\\svchost.exe - [B]Trojan-PSW.Win32.VKont.bjc[/B] ( DrWEB: BackDoor.VkBase.47, BitDefender: Generic.Malware.SFPYVdPkTkWkg.64E22ACF, AVAST4: Win32:Delf-QBF [Trj] )[*] c:\\windows\\update.tray-8-0\\svchost.exe - [B]Trojan-PSW.Win32.VKont.bjc[/B] ( DrWEB: BackDoor.VkBase.47, BitDefender: Generic.Malware.SFPYVdPkTkWkg.64E22ACF, AVAST4: Win32:Delf-QBF [Trj] )[*] c:\\windows\\update.1\\svchost.exe - [B]Trojan-PSW.Win32.VKont.bjc[/B] ( DrWEB: BackDoor.VkBase.47, BitDefender: Generic.Malware.SFPYVdPkTkWkg.64E22ACF, AVAST4: Win32:Delf-QBF [Trj] )[*] c:\\windows\\update.2\\svchost.exe - [B]Trojan.Win32.Swisyn.bsrb[/B] ( DrWEB: Trojan.Siggen3.55506, BitDefender: Trojan.Generic.7379118, AVAST4: Win32:Malware-gen )[*] c:\\windows\\update.3\\svchost.exe - [B]Trojan.Win32.Swisyn.brod[/B] ( DrWEB: Trojan.DownLoader4.36512, BitDefender: Trojan.Generic.6659387, AVAST4: Win32:Delf-QBF [Trj] )[*] c:\\windows\\update.5.0\\svchost.exe - [B]Trojan.Win32.Swisyn.bsod[/B] ( DrWEB: Trojan.BtcMine.3, BitDefender: Trojan.Downloader.Delf.SCA, AVAST4: Win32:Delf-QBF [Trj] )[*] c:\\windows\\update.7.1\\svchostdriver.exe - [B]Trojan.Win32.Scar.enzn[/B] ( DrWEB: Trojan.DownLoader4.46352, BitDefender: Trojan.Generic.KDV.353981, NOD32: Win32/TrojanDownloader.Delf.QRH trojan, AVAST4: Win32:Delf-QBF [Trj] )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]