Есть файл dgen.exe, который грузит процессор на 100%. Я так понимаю, что это наверное вирус. Прикрепляю 3 файла логов:
Printable View
Есть файл dgen.exe, который грузит процессор на 100%. Я так понимаю, что это наверное вирус. Прикрепляю 3 файла логов:
Уважаемый(ая) [B]armanarman[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Documents and Settings\arman\Start Menu\Programs\Startup\787c33e3d27b0b61a700da6260709cae.exe','');
QuarantineFile('C:\Program Files\PCDApp\StartHelp.exe','');
TerminateProcessByName('c:\documents and settings\arman\local settings\temp\svchost.exe');
QuarantineFile('c:\documents and settings\arman\local settings\temp\svchost.exe','');
DeleteFile('c:\documents and settings\arman\local settings\temp\svchost.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','787c33e3d27b0b61a700da6260709cae');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','787c33e3d27b0b61a700da6260709cae');
DeleteFile('C:\Documents and Settings\arman\Start Menu\Programs\Startup\787c33e3d27b0b61a700da6260709cae.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]
Прикрепляю файлы. Посмотрел карантин, а он пустой. Сделал проверку mbam, найдено 16 вирусов. Внизу есть кнопка "quarantine all". Применить ее?
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=130828]- Антивирус и Файрвол[/url]
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
TerminateProcessByName('c:\documents and settings\arman\local settings\temp\svchost.exe');
QuarantineFile('C:\Program Files\pcdapp\starthelp.exe','');
QuarantineFile('c:\windows\system32\spool\drivers\w32x86\3\lxcgtime.dll','');
QuarantineFile('C:\Documents and Settings\arman\Start Menu\Programs\Startup\787c33e3d27b0b61a700da6260709cae.exe','');
QuarantineFile('c:\documents and settings\arman\local settings\temp\svchost.exe','Trojan.Win32.Fsysna.aofa');
QuarantineFile('C:\Program Files\Surftastic\Surftastic.FirstRun.exe','');
QuarantineFile('C:\WINDOWS\Explorer.sav','');
DeleteFile('c:\documents and settings\arman\local settings\temp\svchost.exe','32');
DeleteFile('C:\Documents and Settings\arman\Start Menu\Programs\Startup\787c33e3d27b0b61a700da6260709cae.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','787c33e3d27b0b61a700da6260709cae');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','787c33e3d27b0b61a700da6260709cae');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
[/code]
[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]
[b]После перезагрузки:[/b]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.
- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])
[url=http://virusinfo.info/showthread.php?t=53070&p=493584&viewfull=1#post493584]Поместите в карантин МВАМ[/url] всё найденное.
Сделайте новый лог сканирования MBAM
Новые логи. Карантин не могу загрузить. Пишет "Ошибка загрузки. Данный файл уже был загружен", хотя я ничего не загружал. Поэтому загрузил через управление вложениями. Как поместить в карантин MBAM файлы?
[quote="armanarman;1161813"]Как поместить в карантин MBAM файлы?[/quote]Запустить повторное сканирование, если уже закрыли программу, дождаться его окончания и выбрать действие Карантин для всех найденных записей
Прикрепляю лог MBAM. Проверил MBAM-ом, нашел 15 вирусов. Нажал на кнопку quarantine вроде исчезли они.
Проблема решена?
Сделайте свежий лог сканирования MBAM и что с проблемой?
Заново проверил MBAM-ом, нашлось 4 вируса. Прикрепляю лог. Проблема еще осталась. В task manager-e исчез dgen.exe, но остался svchost.exe, запускаемый от имени пользователя (т.е. вирус).
Удалите в MBAM (переместите в карантин) всё найденное.
Скачайте программу [URL="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/URL] и [url=http://virusinfo.info/showthread.php?t=121767]сделайте полный образ автозапуска uVS[/url].
лог от uvs:
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Что делать с вирусом svchost.exe?
[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS:[/url][code];uVS v3.83.1 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v383c
; C:\DOCUMENTS AND SETTINGS\ARMAN\LOCAL SETTINGS\TEMP\SVCHOST.EXE
addsgn 0DC977BA156A4C720BD4AEB164C81205258AFCF689FA1F7885C3C5BC50D6714C2317C3573E559D492B80849F461649FA7DDFE87255DAB02C2D77A42FC7062273 24 Trojan.Win32.Fsysna.aofa [Kaspersky]
sreg
chklst
delvir
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ARMAN\LOCAL SETTINGS\TEMP\SVCHOST.EXE
; C:\DOCUMENTS AND SETTINGS\ARMAN\START MENU\PROGRAMS\STARTUP\787C33E3D27B0B61A700DA6260709CAE.EXE
zoo %SystemDrive%\PROGRAM FILES\PCDAPP\CSTART.BAT
delall %SystemDrive%\PROGRAM FILES\PCDAPP\CSTART.BAT
delall %SystemDrive%\PROGRAM FILES\PCDAPP
uidel "C:\Program Files\PCDApp\uninstaller.exe"
deltmp
delnfr
czoo
areg[/code]Компьютер перезагрузится.
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Сделайте новый полный образ автозапуска uVS.
2 раза выполнял этот скрипт, но в папке uVS нету указанного zip-архива. Поиск windows тоже ничего не дал.
[quote="Vvvyg;1162343"]Сделайте новый полный образ автозапуска uVS.[/quote]
ждём.
новый лог uVS:
Загрузите систему [B]в безопасном режиме с поддержкой сети[/B].
Выполните скрипт в uVS:[CODE];uVS v3.83.1 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v383c
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ARMAN\LOCAL SETTINGS\TEMP\SVCHOST.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ARMAN\LOCAL SETTINGS\TEMP\SVCHOST.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ARMAN\START MENU\PROGRAMS\STARTUP\787C33E3D27B0B61A700DA6260709CAE.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ARMAN\START MENU\PROGRAMS\STARTUP\787C33E3D27B0B61A700DA6260709CAE.EXE
zoo %SystemDrive%\PROGRAM FILES\PCDAPP\STARTHELP.EXE
delall %SystemDrive%\PROGRAM FILES\PCDAPP\STARTHELP.EXE
del C:\Program Files\PCDApp\cstart.bat
zoo %SystemRoot%\TEMP\NSP3.TMP\NS4.TMP
delall %SystemRoot%\TEMP\NSP3.TMP\NS4.TMP
delref ..
deldir %SystemDrive%\PROGRAM FILES\PCDAPP
uidel "C:\Program Files\PCDApp\uninstaller.exe"
delnfr
deltmp
czoo
restart[/CODE]
Компьютер перезагрузится.
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Сделайте новый полный образ автозапуска uVS.
ZOO_2014-09-24_10-19-59.zip загружен через форму отправки карантина. Новый лог uVS пытаюсь загрузить, но пишет что места свободного нету.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
по ходу что-то загрузилось
Загрузите образ на rghost.ru и дайте ссылку в теме.
То что выложили - это лог выполнения скрипта.