Подцепил трояна,пытался удалить через безопасный режим удалил openvg.exe,onion.exe.После перезапуска ноута они снова появились и начинают нагружать комп,после каждого запуска приходиться их удалять>:(.Заранее спасибо
Printable View
Подцепил трояна,пытался удалить через безопасный режим удалил openvg.exe,onion.exe.После перезапуска ноута они снова появились и начинают нагружать комп,после каждого запуска приходиться их удалять>:(.Заранее спасибо
Уважаемый(ая) [B]FuFik20134[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
QuarantineFile('C:\Users\НИКИТА\appdata\local\temp\svchost.exe','');
QuarantineFile('C:\Users\A84D~1\AppData\Local\Temp\SSLEAY32.dll','');
QuarantineFile('C:\Users\A84D~1\AppData\Local\Temp\LIBEAY32.dll','');
TerminateProcessByName('c:\users\a84d~1\appdata\local\temp\onion.exe');
QuarantineFile('c:\users\a84d~1\appdata\local\temp\onion.exe','');
DeleteFile('c:\users\a84d~1\appdata\local\temp\onion.exe','32');
DeleteFile('C:\Users\A84D~1\AppData\Local\Temp\LIBEAY32.dll','32');
DeleteFile('C:\Users\A84D~1\AppData\Local\Temp\SSLEAY32.dll','32');
DeleteFile('C:\Users\НИКИТА\appdata\local\temp\svchost.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
что обозначает пришлите карантин согласно приложения 2??
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
ничего не изменилось,после скрипта
Читайте Приложение 2 правил - там все написано
Где лог МВАМ?
сейчас будет
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
скоро допровериться mbam и скину лог
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
почему то долго очень проверяет(
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Наконец допроверял
[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] [b]только указанные ниже записи[/b] [code]C:\Users\НИКИТА\AppData\Local\Temp\svchost.exe (PUP.Optional.Cgminer) -> Действие не было предпринято.
C:\Users\НИКИТА\Downloads\DownloadSetup__2299_i284130839_il12.exe (PUP.Optional.InstallMonetizer) -> Действие не было предпринято.
D:\Новая папка (2)\avz4\avz4\Quarantine\2014-02-19\2014-02-19.zip (PUP.Optional.Cgminer) -> Действие не было предпринято.
C:\Users\НИКИТА\AppData\Local\Temp\svchost.exe (Trojan.Agent.Gen) -> Действие не было предпринято.
C:\Users\НИКИТА\AppData\Local\Temp\phatk121016.cl (Trojan.BitcoinMiner) -> Действие не было предпринято.
C:\Users\НИКИТА\AppData\Local\Temp\scrypt130511.cl (Trojan.BitcoinMiner) -> Действие не было предпринято.
C:\Users\НИКИТА\AppData\Local\Temp\diablo130302.cl (Trojan.BitcoinMiner) -> Действие не было предпринято.
C:\Users\НИКИТА\AppData\Local\Temp\poclbm130302.cl (Trojan.BitcoinMiner) -> Действие не было предпринято.
C:\Users\НИКИТА\AppData\Local\Temp\diakgcn121016.cl (Trojan.BitcoinMiner) -> Действие не было предпринято.[/code]
тоисть на то что он нашел удалить?я прочитал на форуме что после проверки и т п его нужно удалить...поторопился
Значит вручную удаляйте указанные мной файлы
Удалил,но после перезагрузки все файлы востоновились
Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]
как выключить фаервол и т п?
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
какой то файл касперский находит называеться gal_st2.dll
[url=http://virusinfo.info/showthread.php?t=121767][b]Сделайте полный образ автозапуска uVS[/b][/url] только программу скачайте [url=http://yadi.sk/d/3KwxKzRHJMq4U]отсюда[/url]
Вот зделал
[quote="FuFik20134;1092766"]Удалил,но после перезагрузки все файлы востоновились[/quote]
с теми же именами?
[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS[/url] и пришлите карантин
[CODE];uVS v3.82 [http://dsrt.dyndns.org]
;Target OS: NTv6.2
OFFSGNSAVE
BREG
dirzooex %SystemDrive%\USERS\НИКИТА\APPDATA\ROAMING\HARD DISK SENTINEL
zoo %SystemDrive%\USERS\НИКИТА\APPDATA\ROAMING\HARD DISK SENTINEL\HDS_CONTROL_REMOVE.VBS
czoo[/CODE]
[quote="thyrex;1092957"]Сделайте лог ComboFix[/quote]
достаточно отключить только касперского.
снова gal_st2 появился
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
где искать етот карантин??
[QUOTE][b]6. [/b] Зайдите в папку где распакована UVS найдите архив имя которого отвечает дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2012-08-21_20-05-27.7z) если архив отсутствует, то заархивруйте папку ZOO в zip архив с паролем [color=Red]virus[/color] и загрузите по ссылке [b][color=Red]Прислать запрошенный карантин[/color][/b] вверху темы. (в некоторых случаях карантина может не быть - папка ZOO_ не появилась или там только текстовые файлы) [/QUOTE]
+ лог ComboFix-а ждём.
прислал,логи комбофикса уже завтра,а то позно уже
onion и openvg о себе незаявляют,странно ето как-то
проблема решена?
лог комбофикса делали? Если ещё не делали и проблема решена, то лог не нужен. А если успели сделать, то прикрепите.