добрый вечер всем!
давно сюда не обращался)) ибо не было повода тьфу тьфу тьфу )))
пишу с ноута друга
жалуется на вирусы и синие экраны
прошу помочь в лечении )
заранее спасибо
Printable View
добрый вечер всем!
давно сюда не обращался)) ибо не было повода тьфу тьфу тьфу )))
пишу с ноута друга
жалуется на вирусы и синие экраны
прошу помочь в лечении )
заранее спасибо
Уважаемый(ая) [B]korj1985[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"] правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\Users\zhakhiny\exlog.exe','');
QuarantineFile('C:\Documents and Settings\zhakhiny\exlog.exe','');
QuarantineFile('C:\Users\zhakhiny\AppData\Roaming\chrome.exe','');
QuarantineFile('C:\Users\zhakhiny\AppData\Roaming\java.exe','');
QuarantineFile('C:\Users\zhakhiny\AppData\Roaming\firefox.exe','');
TerminateProcessByName('c:\users\zhakhiny\axlog.exe');
TerminateProcessByName('c:\users\zhakhiny\fdzax.exe');
QuarantineFile('C:\Users\zhakhiny\AppData\Roaming\Microsoft\6DB3\66C.exe','');
QuarantineFile('C:\Users\zhakhiny\AppData\Roaming\76714\lvvm.exe','');
QuarantineFile('C:\Users\zhakhiny\AppData\Local\795c1f6e\X','');
TerminateProcessByName('c:\program files (x86)\lp\6db3\66c.exe');
QuarantineFile('c:\users\zhakhiny\appdata\roaming\76714\lvvm.exe','');
QuarantineFile('c:\users\zhakhiny\fdzax.exe','');
QuarantineFile('c:\users\zhakhiny\axlog.exe','');
QuarantineFile('c:\program files (x86)\lp\6db3\66c.exe','');
DeleteFile('c:\users\zhakhiny\appdata\roaming\76714\lvvm.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','66C.exe');
DeleteFile('C:\Users\zhakhiny\AppData\Local\795c1f6e\X');
DeleteFile('C:\Users\zhakhiny\AppData\Roaming\76714\lvvm.exe');
DeleteFile('C:\Users\zhakhiny\AppData\Roaming\Microsoft\6DB3\66C.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','66C.exe');
DeleteFile('C:\Users\zhakhiny\fdzax.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','fdzax');
DeleteFile('c:\users\zhakhiny\axlog.exe');
DeleteFile('C:\Documents and Settings\zhakhiny\exlog.exe');
DeleteFile('C:\Users\zhakhiny\exlog.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
все сделал
заметил, что после выполнения скрипта и перезагрузки файрфокс не выходил в инет по причине какого-то прокси
прокси удалил
Пофиксите в HiJack
[CODE]R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:63960[/CODE]
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\Users\zhakhiny\boamiw.exe','');
TerminateProcessByName('c:\program files (x86)\76714\lvvm.exe');
TerminateProcessByName('c:\users\zhakhiny\spkpod\lrpod.exe');
QuarantineFile('c:\users\zhakhiny\spkpod\lrpod.exe','');
TerminateProcessByName('c:\users\zhakhiny\calc.exe');
QuarantineFile('c:\users\zhakhiny\calc.exe','');
TerminateProcessByName('c:\users\zhakhiny\bpod.exe');
QuarantineFile('c:\users\zhakhiny\bpod.exe','');
TerminateProcessByName('c:\users\zhakhiny\boamiw.exe');
QuarantineFile('c:\users\zhakhiny\boamiw.exe','');
TerminateProcessByName('c:\users\zhakhiny\spkpod\arpod.exe');
QuarantineFile('c:\users\zhakhiny\spkpod\arpod.exe','');
TerminateProcessByName('c:\users\zhakhiny\apod.exe');
TerminateProcessByName('c:\windows\temp\afp64.exe');
QuarantineFile('c:\windows\temp\afp64.exe','');
TerminateProcessByName('c:\users\zhakhiny\appdata\roaming\3a876\5176d.exe');
DeleteFile('c:\users\zhakhiny\appdata\roaming\3a876\5176d.exe');
DeleteFile('c:\windows\temp\afp64.exe');
DeleteFile('c:\users\zhakhiny\apod.exe');
DeleteFile('c:\users\zhakhiny\spkpod\arpod.exe');
DeleteFile('c:\users\zhakhiny\boamiw.exe');
DeleteFile('c:\users\zhakhiny\bpod.exe');
DeleteFile('c:\users\zhakhiny\calc.exe');
DeleteFile('c:\users\zhakhiny\spkpod\lrpod.exe');
DeleteFile('c:\program files (x86)\76714\lvvm.exe');
DeleteFile('C:\Program Files (x86)\LP\6DB3\66C.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','66C.exe');
DeleteFile('C:\Users\zhakhiny\boamiw.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','boamiw');
DeleteFile('C:\Users\zhakhiny\AppData\Roaming\chrome.exe');
DeleteFile('C:\Windows\Tasks\At1.job');
DeleteFile('C:\Windows\Tasks\At10.job');
DeleteFile('C:\Windows\Tasks\At11.job');
DeleteFile('C:\Users\zhakhiny\AppData\Roaming\firefox.exe');
DeleteFile('C:\Windows\Tasks\At12.job');
DeleteFile('C:\Windows\Tasks\At13.job');
DeleteFile('C:\Windows\Tasks\At14.job');
DeleteFile('C:\Users\zhakhiny\AppData\Roaming\java.exe');
DeleteFile('C:\Windows\Tasks\At15.job');
DeleteFile('C:\Windows\Tasks\At16.job');
DeleteFile('C:\Windows\Tasks\At17.job');
DeleteFile('C:\Windows\Tasks\At18.job');
DeleteFile('C:\Windows\Tasks\At19.job');
DeleteFile('C:\Windows\Tasks\At2.job');
DeleteFile('C:\Windows\Tasks\At3.job');
DeleteFile('C:\Windows\Tasks\At4.job');
DeleteFile('C:\Windows\Tasks\At5.job');
DeleteFile('C:\Windows\Tasks\At6.job');
DeleteFile('C:\Windows\Tasks\At7.job');
DeleteFile('C:\Windows\Tasks\At8.job');
DeleteFile('C:\Windows\Tasks\At9.job');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(13);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
добрый вечер
прилагаю логи
файл отправил
Здравствуйте.
[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в MBAM[/URL]:
[CODE]Зараженные процессы в памяти:
c:\Users\zhakhiny\quibu.exe (Backdoor.Bot) -> 2788 -> No action taken.
Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\quibu (Backdoor.Bot) -> Value: quibu -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Backdoor.Agent) -> Value: Shell -> No action taken.
Зараженные файлы:
c:\Users\zhakhiny\quibu.exe (Backdoor.Bot) -> No action taken.
c:\Users\zhakhiny\ana7e3.exe (Trojan.Downloader) -> No action taken.
c:\Users\zhakhiny\avat.exe (Trojan.Lvbp) -> No action taken.
c:\Users\zhakhiny\bocow.exe (Backdoor.Bot) -> No action taken.
c:\Users\zhakhiny\bstat.exe (Trojan.Dropper.PE4) -> No action taken.
c:\Users\zhakhiny\bvat.exe (Trojan.Dropper.PE4) -> No action taken.
c:\Users\zhakhiny\bxlog.exe (Trojan.Dropper.PE4) -> No action taken.
c:\Users\zhakhiny\cvat.exe (Spyware.Password) -> No action taken.
c:\Users\zhakhiny\cxlog.exe (Trojan.Agent.PE3) -> No action taken.
c:\Users\zhakhiny\daulix.exe (Backdoor.Bot) -> No action taken.
c:\Users\zhakhiny\dpod.exe (Trojan.Lvbp) -> No action taken.
c:\Users\zhakhiny\dstat.exe (Trojan.Lvbp) -> No action taken.
c:\Users\zhakhiny\dvat.exe (Trojan.Lvbp) -> No action taken.
c:\Users\zhakhiny\epod.exe (Trojan.Lvbp) -> No action taken.
c:\Users\zhakhiny\evat.exe (Trojan.Lvbp) -> No action taken.
c:\Users\zhakhiny\luulam.exe (Trojan.Lvbp) -> No action taken.
c:\Users\zhakhiny\noohut.exe (Trojan.Downloader.ic) -> No action taken.
c:\Users\zhakhiny\NQ5A0B.exe (Backdoor.Bot) -> No action taken.
c:\Users\zhakhiny\rluc.exe (Backdoor.Bot) -> No action taken.
c:\Users\zhakhiny\roejan.exe (Trojan.Lvbp) -> No action taken.
c:\Users\zhakhiny\sgoq.exe (Trojan.Lvbp) -> No action taken.
c:\Users\zhakhiny\vouqn.exe (Backdoor.Bot) -> No action taken.
c:\Users\zhakhiny\y26f0s.exe (Trojan.Agent) -> No action taken.
c:\Users\zhakhiny\AppData\Local\microsoft\Windows\temporary internet files\Content.IE5\16QCDP1G\gal5[1].swf (Trojan.Dropper) -> No action taken.
c:\Users\zhakhiny\AppData\Roaming\microsoft\6DB3\229E.tmp (Trojan.Dropper.PE4) -> No action taken.
d:\Foto\kokzhailau 25.12.2011.exe (Backdoor.Bot) -> No action taken.
[/CODE]
Сделайте повторные логи.
все сделал
логи прилагаю
А лог МВАМ после удаления где?
запамятовал)
прикрепляю логи после чистки
Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\zhakhiny\\exlog.exe - [B]Trojan-Downloader.Win32.Genome.cwzi[/B] ( DrWEB: Trojan.DownLoader5.26725, BitDefender: Trojan.Generic.7063931, AVAST4: Win32:Dropper-gen [Drp] )[*] c:\\program files (x86)\\lp\\6db3\\66c.exe - [B]Trojan.Win32.FraudPack.czuc[/B] ( DrWEB: BackDoor.Gbot.2017, BitDefender: Gen:Variant.Kazy.49699, AVAST4: Win32:Cybota [Trj] )[*] c:\\users\\zhakhiny\\appdata\\local\\795c1f6e\\x - [B]Backdoor.Win64.ZAccess.aq[/B] ( DrWEB: BackDoor.Maxplus.466, BitDefender: Trojan.Sirefef.AG, NOD32: Win64/Sirefef.K trojan, AVAST4: Win32:Sirefef-JQ [Trj] )[*] c:\\users\\zhakhiny\\appdata\\roaming\\firefox.exe - [B]Trojan.Win32.FraudPack.czuc[/B] ( DrWEB: BackDoor.Gbot.2017, BitDefender: Gen:Variant.Kazy.49699, AVAST4: Win32:Cybota [Trj] )[*] c:\\users\\zhakhiny\\appdata\\roaming\\java.exe - [B]Trojan.Win32.FraudPack.czuc[/B] ( DrWEB: BackDoor.Gbot.2017, BitDefender: Gen:Variant.Kazy.49699, AVAST4: Win32:Cybota [Trj] )[*] c:\\users\\zhakhiny\\appdata\\roaming\\microsoft\\6db3\\66c.exe - [B]Trojan.Win32.Menti.jzha[/B] ( DrWEB: BackDoor.Gbot.2028, BitDefender: Gen:Heur.Conjar.9, AVAST4: Win32:Cybota [Trj] )[*] c:\\users\\zhakhiny\\appdata\\roaming\\76714\\lvvm.exe - [B]Trojan.Win32.Menti.jzjs[/B] ( DrWEB: BackDoor.Gbot.2000, BitDefender: Gen:Variant.Kazy.50101, AVAST4: Win32:Cybota [Trj] )[*] c:\\users\\zhakhiny\\axlog.exe - [B]Trojan.Win32.Diple.dwth[/B] ( DrWEB: Win32.HLLW.Facebook.1005, BitDefender: Trojan.Generic.KDV.491818, NOD32: Win32/Videspra.AF worm, AVAST4: Win32:Downloader-LYJ [Trj] )[*] c:\\users\\zhakhiny\\exlog.exe - [B]Trojan-Downloader.Win32.Genome.cwzi[/B] ( DrWEB: Trojan.DownLoader5.26725, BitDefender: Trojan.Generic.7063931, AVAST4: Win32:Dropper-gen [Drp] )[/LIST][/LIST]