Здравствуйте, при проверке компа CureIt-ом он находит 4 вируса, причем проверив один раз и все вылечив, после перезагрузки опять находятся эти 4 файла.К теме скрин вирусов [ATTACH=CONFIG]488572[/ATTACH]
Printable View
Здравствуйте, при проверке компа CureIt-ом он находит 4 вируса, причем проверив один раз и все вылечив, после перезагрузки опять находятся эти 4 файла.К теме скрин вирусов [ATTACH=CONFIG]488572[/ATTACH]
Уважаемый(ая) [B]Роберт1996[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[url]http://virusinfo.info/pravila.html[/url]
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\Robert\AppData\Local\Temp\kusadtylds.exe','');
QuarantineFile('C:\Users\Robert\AppData\Local\Temp\Adobe\Reader_sl.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-3488854\k88ua.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-34881854\k88u1a.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-24560811\ehj2121.exe','');
QuarantineFile('C:\ProgramData\CreativeAudio\riaiccape.exe','');
QuarantineFile('C:\PROGRA~2\msgjwcdh.exe','');
DeleteFile('C:\PROGRA~2\msgjwcdh.exe','32');
DeleteFile('C:\ProgramData\CreativeAudio\riaiccape.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-24560811\ehj2121.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-34881854\k88u1a.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-3488854\k88ua.exe','32');
DeleteFile('C:\Users\Robert\AppData\Local\Temp\Adobe\Reader_sl.exe','32');
DeleteFile('C:\Users\Robert\AppData\Local\Temp\kusadtylds.exe','32');
DeleteFile('C:\Windows\system32\Tasks\Windows Update Check - 0x0E7302EC','32');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(9);
ExecuteWizard('TSW',3,3,true);
ExecuteWizard('SCU',2,2,true);
BC_Activate;
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
Выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
Вот
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=130828]- Антивирус и Файрвол[/url]
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
TerminateProcessByName('c:\users\robert\appdata\local\temp\kb00405640.exe');
QuarantineFile('c:\users\robert\appdata\local\temp\kb00405640.exe','');
QuarantineFile('C:\Users\Robert\AppData\Local\Temp\kusadtylds.exe','');
QuarantineFile('C:\Users\Robert\AppData\Local\Temp\Adobe\Reader_sl.exe','');
QuarantineFile('C:\ProgramData\CreativeAudio\xsljqlonf.exe','');
QuarantineFile('C:\PROGRA~2\msgjwcdh.exe','');
DeleteFile('C:\PROGRA~2\msgjwcdh.exe','32');
DeleteFile('C:\ProgramData\CreativeAudio\xsljqlonf.exe','32');
DeleteFile('C:\Users\Robert\AppData\Local\Temp\kusadtylds.exe','32');
DeleteFile('C:\Windows\system32\Tasks\Windows Update Check - 0x0E7302EC','32');
DeleteFile('c:\users\robert\appdata\local\temp\kb00405640.exe','32');
DeleteFile('C:\Users\Robert\appdata\local\temp\adobe\reader_sl.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','2966028676');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CreativeAudio');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Adobe System Incorporated');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(9);
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
[/code]
[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]
[b]После перезагрузки:[/b]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.
- [LIST=1][*]Скачайте [B][URL="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/URL][/B] (uVS)[*]Извлеките uVS из [I]архива[/I] или из [I]zip-папки[/I]. [*]Закройте все программы, [B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО.[*]Откройте папку с распакованной утилитой [B]uVS[/B] и запустите файл [B]start.exe[/B]. В открывшимся окне выберите пункт "[B]Запустить под текущим пользователем[/B]".[*]Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
[CODE];uVS v3.82 script [http://dsrt.dyndns.org]
adddir %SystemDrive%\USERS\Robert\APPDATA\ROAMING
crimg
[/CODE][*]В [B]uVS[/B] выберите пункт меню "[B]Скрипт[/B]" => "[B]Выполнить скрипт находящийся в буфере обмена...[/B]"[*]Нажмите на кнопку "[B]Выполнить[/B]" и дождитесь окончания работы программы.[*]После этого в папке с программой будет создан образ автозапуска название, которого имеет формат [B]"имя_компьютера_дата_сканирования"[/B]. Прикрепите этот образ к следующему сообщению[*][INDENT][SIZE="1"][B]!!! Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [B]Windows XP[/B] так и есть. В [B]Windows Vista[/B] и [B]Windows 7[/B] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [B]Запуск от имени Администратора[/B], при необходимости укажите пароль администратора и нажмите [B]"Да"[/B].[/SIZE][/INDENT][/LIST]
+ посмотрите, что находится в папке
[CODE]C:\ProgramData\CreativeAudio[/CODE]
Во время выполнения скрипта произошло вот это:[ATTACH=CONFIG]488638[/ATTACH]
А в ПрограмДате нашел rzsbkotiu.exe
Загрузите систему в безопасном режиме и повторите.
Готово
[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS:[/url][code];uVS v3.83 BETA 13 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
; C:\PROGRAMDATA\CREATIVEAUDIO\RZSBKOTIU.EXE
addsgn 1A864A9A5583528CF42B831567C81271070914F2FDED9C9088B7C9F424D5428CE0AFC7533E555EF13984849F85AE4DF27DDF2BCA44DEB02CEEFC5B79908DD21B 32 Dropper/Win32.Necurs [AhnLab-V3]
; C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-398787854\K35877A1.EXE
; C:\PROGRAMDATA\MSGJWCDH.EXE
; C:\USERS\ROBERT\APPDATA\ROAMING\IDENTITIES\QZOYOO.EXE
addsgn 1AE7379A5583528CF42B627DA89B448E61AEE4FD498F07F3C9E7D13714F2617FF1E032DCE6DED96D2777751495FD0871B554B4564151E4083DFCE00BCBD7CBA2 24 Dropper/Win32.Necurs.2 [AhnLab-V3]
; C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-3987267854\K354537A1.EXE
; C:\USERS\ROBERT\APPDATA\LOCAL\TEMP\ADOBE\READER_SL.EXE
; C:\USERS\ROBERT\APPDATA\ROAMING\24C6.EXE
addsgn 1A3F539A5583528CF42B254E3143FE84C95AFEF6895B83AAC5C3F679D9938DC5A6F73EA8C1DC1095D67F7B16D3CEB405825675A6A8254FA598A759D0388F9FBF 16 Win32/Neurevt.B [ESET-NOD32]
; C:\USERS\ROBERT\APPDATA\ROAMING\27F3.EXE
addsgn 1A17239A5583528CF42B254E3143FE84C95AFEF6895BFF9BC4C3F679D9938DC5A6F73EA8C1DC1095D67F7B16D3CEB405825675A6A8254FA598A759D0388F9FBF 8 Trojan.Betabot.3 [DrWeb]
; C:\USERS\ROBERT\APPDATA\ROAMING\2D41.EXE
; C:\USERS\ROBERT\APPDATA\ROAMING\3938.EXE
; C:\USERS\ROBERT\APPDATA\ROAMING\55EC.EXE
; C:\USERS\ROBERT\APPDATA\ROAMING\6B15.EXE
addsgn 1AFC229A5583528CF42B254E3143FE84C95AFEF6895B9F13C4C3F679D9938DC5A6F73EA8C1DC1095D67F7B16D3CEB405825675A6A8254FA598A759D0388F9FBF 8 Trojan.Agent.ED [Malwarebytes]
; C:\USERS\ROBERT\APPDATA\ROAMING\7B91.EXE
; C:\USERS\ROBERT\APPDATA\ROAMING\967F.EXE
; C:\USERS\ROBERT\APPDATA\ROAMING\B3BC.EXE
addsgn 1A62559A5583528CF42B254E3143FE56730189FE027CA37885C3F66707EDB2384C2A1B847E55E921A006349F461672390981D16A20803BAA9577A42FFCC55664 24 Backdoor.Win32.Androm.ervb [Kaspersky]
; C:\USERS\ROBERT\APPDATA\ROAMING\C465.EXE
; C:\USERS\ROBERT\APPDATA\ROAMING\C731200
; C:\USERS\ROBERT\APPDATA\ROAMING\CE21.EXE
; C:\USERS\ROBERT\APPDATA\ROAMING\E482.EXE
; C:\USERS\ROBERT\APPDATA\ROAMING\F7E4.EXE
; C:\USERS\ROBERT\APPDATA\ROAMING\F9E.EXE
chklst
delvir
delref CLHH.EXE
deltmp
delnfr
restart[/code]Компьютер перезагрузится.
Сделайте полный образ автозапуска uVS, если не поместится во вложения, загрузите на rghost.ru и дайте ссылку в теме.
Лови [url]http://rghost.ru/private/57375973/c10da33a5eaef20efaf12d921f17492b[/url]
Выполните скрипт в uVS:[CODE];uVS v3.83 BETA 13 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
adddir %SystemDrive%\USERS\Robert\APPDATA\ROAMING
; C:\PROGRAMDATA\MSGJWCDH.EXE
addsgn 1A864A9A5583528CF42B831567C81271070914F2FDED9C9088B7C9F424D5428CE0AFC7533E555EF13984849F85AE4DF27DDF2BCA44DEB02CEEFC5B79908DD21B 32 Dropper/Win32.Necurs [AhnLab-V3]
;------------------------autoscript---------------------------
sreg
chklst
delvir
delref OMYLCQKS.EXE
delref %SystemDrive%\USERS\ROBERT\APPDATA\ROAMING\IDENTITIES\QZOYOO.EXE
delref %SystemDrive%\PROGRAMDATA\CREATIVEAUDIO\RZSBKOTIU.EXE
areg
;-------------------------------------------------------------[/CODE]
После перезагрузки сделайте новый полный образ автозапуска uVS.
[url]http://rghost.ru/57376474[/url]
Ок, справились с заразой.
Деинсталлируйте Java(TM) 6 Update 17 и установите [URL="http://www.java.com/ru/download/manual.jsp"]Java 7 Update 67[/URL].
Скачайте утилиту [URL=http://oldtimer.geekstogo.com/OTL.exe]OTL by OldTimer[/URL]. Запустите OTL.EXE, установите галочки в следующих пунктах настройки:
[B]Scan All Users[/B]
[B]Include 64Bit Scans[/B] - в случае 64-разрядной системы;
Output: [B]Minimal Output[/B];
File Scans: [B]Use Company-Name WhiteList[/B] и [B]Skip Microsoft Files[/B];
[B]Lop Check[/B];
[B]Purity Check[/B].
В окне [B]File Age[/B] установите [B]30 days[/B]
Остальные параметры оставьте по умолчанию.
Скопируйте текст
[CODE]%USERPROFILE%\AppData\Local\*.url /S
%USERPROFILE%\AppData\Local\*.lnk /S
%PROGRAMFILES%\*.url /S
%PROGRAMFILES%\*.lnk /S
%ProgramFiles(x86)%\*.lnk /S
%ProgramFiles(x86)%\*.url /S
%CommonProgramFiles%\*.*
%ALLUSERSPROFILE%\ntuser.pol
%SystemRoot%\System32\GroupPolicy\Machine\Registry.pol[/CODE]
в окно [B]Custom Scans/Fixes [/B] и нажмите [B][COLOR="#0000CD"]Run Scan[/COLOR][/B].
После окончания сканирования программа создаст два файла: OTL.TXT и EXTRAS.TXT, упакуйте их в архив ZIP или RAR и прикрепите их к своему следующему сообщению в теме.
Отправил
Запустите OTL (в [B]Windows Vista/7/8[/B] необходимо запускать через правую кнопку мыши [B]от имени администратора[/B]), скопируйте скрипт ниже в окно [B]Custom Scans/Fixes[/B], закройте все браузеры и нажмите [B][COLOR="#FF0000"][SIZE=4]Run Fix[/SIZE][/COLOR][/B][CODE]:OTL
[2014.08.06 16:42:11 | 000,122,880 | -HS- | C] (PortableApps.com) -- C:\ProgramData\msgjwcdh.exe
[2014.08.06 15:35:28 | 000,000,000 | -HSD | C] -- C:\ProgramData\CreativeAudio
:Commands
[EMPTYTEMP]
[purity]
[Reboot][/CODE]
Компьютер перезагрузится и откроет в блокноте лог выполнения скрипта, прикрепите его к своему следующему сообщению.
Лог
Запустите OTL.EXE и нажмите [B]Cleanup[/B].
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url] при наличии доступа в интернет:[CODE]var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
Выполните [url="http://virusinfo.info/showthread.php?t=121902"]рекомендации после лечения[/url].
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]19[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\programdata\creativeaudio\riaiccape.exe - [B]Trojan-Downloader.Win32.Agent.hetf[/B] ( BitDefender: Trojan.GenericKD.1797616, AVAST4: Win32:Malware-gen )[*] c:\programdata\creativeaudio\xsljqlonf.exe - [B]Trojan-Downloader.Win32.Agent.heth[/B][*] c:\progra~2\msgjwcdh.exe - [B]Trojan-Downloader.Win32.Agent.heth[/B][*] c:\progra~2\msgjwcdh.exe - [B]Backdoor.Win32.Androm.ervb[/B] ( BitDefender: Gen:Variant.Zusy.101915 )[*] c:\recycler\s-1-5-21-0243556031-888888379-781863308-24560811\ehj2121.exe - [B]Worm.Win32.Hamweq.pnv[/B] ( BitDefender: Trojan.GenericKD.1797639 )[*] c:\recycler\s-1-5-21-0243556031-888888379-781863308-34881854\k88u1a.exe - [B]Worm.Win32.Hamweq.pnx[/B] ( BitDefender: Gen:Variant.Graftor.150644 )[*] c:\recycler\s-1-5-21-0243556031-888888379-781863308-3488854\k88ua.exe - [B]Worm.Win32.Hamweq.pnw[/B] ( BitDefender: Gen:Variant.Graftor.150644, AVAST4: Win32:Malware-gen )[*] c:\users\robert\appdata\local\temp\adobe\reader_sl.exe - [B]Trojan-Downloader.Win32.Agent.heth[/B] ( BitDefender: Trojan.GenericKD.1799171, AVAST4: Win32:Inject-BJC [Trj] )[/LIST][/LIST]