Dr.Web CureIt! и касперский не видят никаких вирусов.
Помогите пожалуйста!
[ATTACH=CONFIG]406421[/ATTACH][ATTACH=CONFIG]406422[/ATTACH][ATTACH]406421[/ATTACH][ATTACH]406422[/ATTACH]
Dr.Web CureIt! и касперский не видят никаких вирусов.
Помогите пожалуйста!
[ATTACH=CONFIG]406421[/ATTACH][ATTACH=CONFIG]406422[/ATTACH][ATTACH]406421[/ATTACH][ATTACH]406422[/ATTACH]
Уважаемый(ая) [B]Нино Мориарти[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте !!!
Выполните скрипт в AVZ:
[CODE]begin
QuarantineFile('C:\Users\User\AppData\Local\Temp\e6xik0j0.exe','');
DeleteFile('C:\Users\User\AppData\Local\Temp\e6xik0j0.exe');
DeleteFile('C:\Windows\Tasks\ttj9gjdq.job');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(2);
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteRepair(21);
ExecuteWizard('SCU',2,2,true);
RebootWindows(true);
end.[/CODE]
После перезагрузки выполните скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Загрузите quarantine.zip из папки AVZ по красной ссылке [B]вверху[/B] темы [COLOR="Red"]Прислать запрошенный карантин[/COLOR]
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
Все сделано по инструкции, в карантин отправлено, вот новые скрипты.
[ATTACH]406441[/ATTACH]
[ATTACH]406443[/ATTACH]
Что с проблемой?
пока не всплывает ничего)
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Только написала это и появился синий экран смерти.
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
И ОПЯТЬ СИНИЙ!
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Сделала откатку системы.
[quote="Нино Мориарти;977516"]Сделала откатку системы.[/quote]
И скорее всего вернули вирусы на место.
[quote="Нино Мориарти;977516"]Только написала это и появился синий экран смерти.[/quote]
Железо компьютера проверить не помешало бы.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
[ATTACH]406700[/ATTACH][ATTACH]406699[/ATTACH]
- [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HijackThis:[/URL]
[CODE]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchfunmoods.com/?f=1&a=iron2&ir=iron2&cd=2XzuyEtN2Y1L1Qzuzz0C0AzyzztBzz0EyD0AtB0F0C0A0CtDtN0D0Tzu0CtAyDtDtN1L2XzutBtFtBtFtCtFyEtDyB&cr=731101671
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchfunmoods.com/?f=1&a=iron2&ir=iron2&cd=2XzuyEtN2Y1L1Qzuzz0C0AzyzztBzz0EyD0AtB0F0C0A0CtDtN0D0Tzu0CtAyDtDtN1L2XzutBtFtBtFtCtFyEtDyB&cr=731101671
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\..\{0DBA2F03-1F1B-44D2-B9FA-41B2B40FEC7D}: NameServer = 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{67869732-37E4-460B-9D18-74CC357DA28C}: NameServer = 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{74721B31-AA34-4FE3-9EF2-0D59404F07AA}: NameServer = 127.0.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{0DBA2F03-1F1B-44D2-B9FA-41B2B40FEC7D}: NameServer = 127.0.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{0DBA2F03-1F1B-44D2-B9FA-41B2B40FEC7D}: NameServer = 127.0.0.1
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните в АВЗ:[/URL]
[CODE]begin
QuarantineFile('C:\Users\User\appdata\roaming\txt.exe','');
DeleteFile('C:\Users\User\appdata\roaming\txt.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end[/CODE]
[COLOR="#FF0000"]Компьютер перезагрузится[/COLOR]
[B]После перезагрузки:[/B]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [B]quarantine.zip[/B] из папки AVZ загрузите по ссылке "[COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR]" вверху темы.
- [URL="http://virusinfo.info/showthread.php?t=53070"][B]Сделайте лог полного сканирования MBAM[/B][/URL].
В HijackThis профиксила.
В авз скритп не выполняется. Пишет ошибка: "." expected в позиции 9:1
[CODE]begin
QuarantineFile('C:\Users\User\appdata\roaming\txt.exe','');
DeleteFile('C:\Users\User\appdata\roaming\txt.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Поправил, выполняйте.
[ATTACH]406727[/ATTACH]
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
сделано
[URL="http://virusinfo.info/showthread.php?t=53070&p=493584&viewfull=1#post493584"]Удалите в MBAM[/URL]:
[CODE]HKCR\CLSID\{75A4D144-506D-4BE5-81DB-EC7DA1E7F840} (PUP.Funmoods) -> Действие не было предпринято.
HKCR\TypeLib\{960DF771-CFCB-4E53-A5B5-6EF2BBE6E706} (PUP.Funmoods) -> Действие не было предпринято.
HKCR\esrv.funmoodsESrvc.1 (PUP.Funmoods) -> Действие не было предпринято.
HKCR\esrv.funmoodsESrvc (PUP.Funmoods) -> Действие не было предпринято.
HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{C87FC351-A80D-43E9-9A86-CF1E29DC443A} (PUP.Funmoods) -> Действие не было предпринято.
HKCU\SOFTWARE\Funmoods (PUP.FunMoods) -> Действие не было предпринято.
HKCU\SOFTWARE\InstallCore\funmoods (PUP.FunMoods) -> Действие не было предпринято.
HKLM\SOFTWARE\InstallCore\funmoods (PUP.FunMoods) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} (PUP.ToolBar.WA) -> Параметры: -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs|Tabs (PUP.FunMoods) -> Параметры: http://searchfunmoods.com/?f=2&a=iron2&ir=iron2&cd=2XzuyEtN2Y1L1Qzuzz0C0AzyzztBzz0EyD0AtB0F0C0A0CtDtN0D0Tzu0CtAyDtDtN1L2XzutBtFtBtFtCtFyEtDyB&cr=731101671 -> Действие не было предпринято.
C:\Program Files (x86)\dns2\dns (Backdoor.Bot.ooo) -> Действие не было предпринято.
C:\Program Files (x86)\qqqq0\oooo0 (Trojan.Agent.cn) -> Действие не было предпринято.
C:\Program Files (x86)\Plastic goa\Auve (Trojan.Agent.VBS) -> Действие не было предпринято.
C:\Users\User\AppData\Roaming\198.exe (Backdoor.Bot.ooo) -> Действие не было предпринято.
C:\Users\User\Local Settings\Application Data\Google\Chrome\User Data\Default\Local Storage\chrome-extension_bbjciahceamgodcoidkjpchnokgfpphh_0.localstorage (PUP.Funmoods) -> Действие не было предпринято.
C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_bbjciahceamgodcoidkjpchnokgfpphh_0.localstorage (PUP.Funmoods) -> Действие не было предпринято.
C:\Users\User\0.6302773085363372.exe (Exploit.Drop.UR.2) -> Действие не было предпринято.
C:\Users\User\AppData\Roaming\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
c:\windows\system32\drivers\etc\hоsts (Hijack.Trace) -> Действие не было предпринято.
C:\Program Files (x86)\dns2\dns\govno.bat (Backdoor.Bot.ooo) -> Действие не было предпринято.
C:\Program Files (x86)\dns2\dns\data.txt (Backdoor.Bot.ooo) -> Действие не было предпринято.
C:\Program Files (x86)\dns2\dns\idet.vbs (Backdoor.Bot.ooo) -> Действие не было предпринято.
C:\Users\User\AppData\Roaming\Funmoods\UpdateProc\UpdateTask.exe (PUP.FunMoods) -> Действие не было предпринято.
C:\Users\User\Local Settings\Application Data\Google\Chrome\User Data\Default\Local Storage\chrome-extension_cjpglkicenollcignonpgiafdgfeehoj_0.localstorage (PUP.FunMoods) -> Действие не было предпринято.
C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_cjpglkicenollcignonpgiafdgfeehoj_0.localstorage (PUP.FunMoods) -> Действие не было предпринято.
C:\Program Files (x86)\qqqq0\oooo0\airan.vbs (Trojan.Agent.cn) -> Действие не было предпринято.
C:\Program Files (x86)\qqqq0\oooo0\dsk.txt (Trojan.Agent.cn) -> Действие не было предпринято.
C:\Program Files (x86)\qqqq0\oooo0\jog.bat (Trojan.Agent.cn) -> Действие не было предпринято.
C:\Program Files (x86)\qqqq0\oooo0\pjpl.txt (Trojan.Agent.cn) -> Действие не было предпринято.
C:\Program Files (x86)\qqqq0\oooo0\tan.vbs (Trojan.Agent.cn) -> Действие не было предпринято.
C:\Program Files (x86)\Plastic goa\Auve\sellmeforalls.bat (Trojan.Agent.VBS) -> Действие не было предпринято.
C:\Program Files (x86)\Plastic goa\Auve\soapandpillows.vbs (Trojan.Agent.VBS) -> Действие не было предпринято.
C:\Program Files (x86)\Plastic goa\Auve\toni.ha (Trojan.Agent.VBS) -> Действие не было предпринято.
C:\Program Files (x86)\Plastic goa\Auve\trollingna_suse.vbs (Trojan.Agent.VBS) -> Действие не было предпринято.[/CODE]
готово
Что с проблемами?
все вроде норм
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Спасибо огромное!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\users\\user\\appdata\\roaming\\txt.exe - [B]Trojan.Win32.Genome.aiqsu[/B] ( DrWEB: Trojan.Mayachok.18024, BitDefender: Gen:Variant.Kazy.99718, AVAST4: Win32:Crypt-OKC [Trj] )[/LIST][/LIST]