Компьютер висит, выскакивают ошибки и антивирус находит вирусы от которых не избавляет.
Printable View
Компьютер висит, выскакивают ошибки и антивирус находит вирусы от которых не избавляет.
Уважаемый(ая) [B]nyu[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
webconnect удалите через Установку программ
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\9734~1\AppData\Roaming\Searchya\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\Users\9734~1\AppData\Roaming\METACR~1\UPDATE~1\UPDATE~1.EXE','');
DelBHO('{33AA308B-B565-4376-AC66-59EE9B6AD13E}');
DelBHO('{25927741-5E5B-4D27-8D8B-9188FE64373F}');
QuarantineFile('C:\Program Files\SearchYa!\1.8.8.0\bh\searchya.dll','');
QuarantineFile('C:\Users\админ\AppData\Roaming\Identities\Lcrirt.exe','');
QuarantineFile('C:\Users\админ\AppData\Roaming\Identities\Icrirq.exe','');
QuarantineFile('C:\Users\9734~1\AppData\Roaming\mswnd.exe','');
QuarantineFile('C:\Users\9734~1\AppData\Local\Temp\KB01002446.exe','');
QuarantineFile('C:\Users\9734~1\AppData\Local\Temp\Adobe\Reader_sl.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-981181\18345a8.exe','');
QuarantineFile('C:\ProgramData\CreativeAudio\ndtcrvgiu.exe','');
QuarantineFile('C:\Program Files\NCH Software\Debut\debut.exe','');
QuarantineFile('C:\Program Files\WebConnect\updateWebConnect.exe','');
QuarantineFile('C:\Program Files\WebConnect\bin\utilWebConnect.exe','');
SetServiceStart('Util WebConnect', 4);
SetServiceStart('Update WebConnect', 4);
DeleteService('Update WebConnect');
DeleteService('Util WebConnect');
QuarantineFile('C:\Windows\system32\drivers\wStLib.sys','');
TerminateProcessByName('c:\program files\webconnect\updatewebconnect.exe');
QuarantineFile('c:\program files\webconnect\updatewebconnect.exe','');
QuarantineFile('c:\users\админ\appdata\roaming\ВЛАДИМИР-ПК\twunk_16.exe','');
TerminateProcessByName('c:\users\9734~1\appdata\local\temp\sqia0.exe');
QuarantineFile('c:\users\9734~1\appdata\local\temp\sqia0.exe','');
TerminateProcessByName('c:\users\админ\appdata\roaming\update\msupdate.exe');
QuarantineFile('c:\users\админ\appdata\roaming\update\msupdate.exe','');
TerminateProcessByName('c:\users\9734~1\appdata\local\temp\k7yud.exe');
QuarantineFile('c:\users\9734~1\appdata\local\temp\k7yud.exe','');
TerminateProcessByName('c:\program files\webconnect\bin\filterapp_c.exe');
QuarantineFile('c:\program files\webconnect\bin\filterapp_c.exe','');
TerminateProcessByName('c:\users\9734~1\appdata\local\temp\c8q43.exe');
QuarantineFile('c:\users\9734~1\appdata\local\temp\c8q43.exe','');
DeleteFile('c:\users\9734~1\appdata\local\temp\c8q43.exe','32');
DeleteFile('c:\program files\webconnect\bin\filterapp_c.exe','32');
DeleteFile('c:\users\9734~1\appdata\local\temp\k7yud.exe','32');
DeleteFile('c:\users\админ\appdata\roaming\update\msupdate.exe','32');
DeleteFile('c:\users\9734~1\appdata\local\temp\sqia0.exe','32');
DeleteFile('c:\users\админ\appdata\roaming\ВЛАДИМИР-ПК\twunk_16.exe','32');
DeleteFile('c:\program files\webconnect\updatewebconnect.exe','32');
DeleteFile('C:\Windows\system32\drivers\wStLib.sys','32');
DeleteFile('C:\Program Files\WebConnect\bin\utilWebConnect.exe','32');
DeleteFile('C:\Program Files\WebConnect\updateWebConnect.exe','32');
DeleteFile('C:\ProgramData\CreativeAudio\ndtcrvgiu.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CreativeAudio');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','6p4588');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-981181\18345a8.exe','32');
DeleteFile('C:\Users\9734~1\AppData\Local\Temp\Adobe\Reader_sl.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Adobe System Incorporated');
DeleteFile('C:\Users\9734~1\AppData\Local\Temp\KB01002446.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MicrosoftSfCnt');
DeleteFile('C:\Users\9734~1\AppData\Roaming\mswnd.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','206299298');
DeleteFile('C:\Users\админ\AppData\Roaming\Identities\Icrirq.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Icrirq');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','Icrirq');
DeleteFile('C:\Users\админ\AppData\Roaming\Identities\Lcrirt.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Lcrirt');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Manager');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','twunk_16.exe');
DeleteFile('C:\Program Files\SearchYa!\1.8.8.0\bh\searchya.dll','32');
DeleteFile('C:\Users\9734~1\AppData\Roaming\METACR~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Windows\Tasks\MetaCrawler.job','32');
DeleteFile('C:\Windows\Tasks\Searchya.job','32');
DeleteFile('C:\Windows\system32\Tasks\MetaCrawler','32');
DeleteFile('C:\Users\9734~1\AppData\Roaming\Searchya\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Windows\system32\Tasks\Searchya','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]
[QUOTE=thyrex;1166878]Сделайте лог [URL="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/URL][/QUOTE]
Прилагаю.
Новые логи по правилам где?
Перечитайте по ссылке о создании лога МВАМ и пришлите нужное
Перейти по ссылке на скачивание не удалось, не даёт почему-то, сразу выскакиевает окно со строкой на поиск в яндексе, и та же картина. В итоге через другой комп скачала, скинула сюда, установила, но не запускается. Ошибка[ATTACH=CONFIG]499062[/ATTACH]
Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]
Прилагаю
Скопируйте текст ниже в Блокнот и сохраните как файл с названием [B]CFScript.txt[/B] [B][COLOR="#0000CD"]в корень диска С[/COLOR][/B]
[code]KillAll::
File::
c:\programdata\CreativeAudio\iflmnkfrd.exe
c:\users\админ\AppData\Roaming\Identities\Lcrirt.exe
c:\users\админ\AppData\Local\Conduit\BackgroundContainer\BackgroundContainer.dll
c:\windows\system32\drivers\{664f7cae-01d9-48b5-bc90-e3c3d6bb0ddb}w.sys
Driver::
{664f7cae-01d9-48b5-bc90-e3c3d6bb0ddb}w
Folder::
c:\users\админ\AppData\Local\Conduit
c:\programdata\CreativeAudio
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BackgroundContainerV2"=-
"Lcrirt"=-
"CreativeAudio"=-
DDS::
mStart Page = hxxp://www.searchya.com/?f=1&a=syd72&cd=2XzuyEtN2Y1L1QzutDtDtC0FtA0Azz0F0CtBzy0B0DtDzy0BtN0D0Tzu0CyCtDyBtN1L2XzutBtFtBtFyEtFyBtAtCtN1L1Czu0D0S1L2Z1P1B0T1P1B2Z&cr=646805652&ir=
DirLook::[/code]
После сохранения переместите [B]CFScript.txt[/B] на пиктограмму ComboFix.exe.
[img]http://savepic.org/5315621m.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
...
Сделайте новые логи AVZ
Пробуйте сделать лог МВАМ
Почему-то не даёт сохранить в текстовом документе, но я попробовала по другому сделать, не знаю подойдёт или нет, но иначе никак не получается.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
...
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
...
Попробуйте сделать лог такой версией [url]http://virusinfo.info/soft/mbam-setup-1.75.0.1300.exe[/url]
...
Поместите в карантин МВАМ всё найденное
Поместила, что дальше?
Что с проблемами?
Теперь задача malware ликвидировать вирусы или что с файлами в карантине делать дальше? Эту прогу удалять можно?
Проблема решена?
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]55[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files\searchya!\1.8.8.0\bh\searchya.dll - [B]not-a-virus:WebToolbar.Win32.Agent.axw[/B][*] c:\programdata\creativeaudio\ndtcrvgiu.exe - [B]Trojan.Win32.Yakes.gmed[/B] ( DrWEB: Trojan.Betabot.3, BitDefender: Trojan.GenericKD.1898890, AVAST4: Win32:Zbot-UOM [Trj] )[*] c:\users\админ\appdata\local\temp\adobe\reader_sl.exe - [B]Worm.Win32.Ngrbot.aiqi[/B] ( DrWEB: BackDoor.Andromeda.267, BitDefender: Gen:Variant.Zusy.109586, AVAST4: Win32:Zbot-UOM [Trj] )[*] c:\users\админ\appdata\roaming\identities\lcrirt.exe - [B]Worm.Win32.Ngrbot.aiqi[/B] ( DrWEB: BackDoor.Andromeda.267, BitDefender: Gen:Variant.Zusy.109586, AVAST4: Win32:Zbot-UOM [Trj] )[*] c:\users\админ\appdata\roaming\update\msupdate.exe - [B]Trojan-Proxy.Win32.Lethic.ccz[/B] ( DrWEB: Trojan.Asterope.4, BitDefender: Trojan.GenericKD.1894654, AVAST4: Win32:Trojan-gen )[*] c:\users\админ\appdata\roaming\update\msupdate.exe - [B]Trojan.Win32.Bublik.cuuv[/B] ( DrWEB: Trojan.DownLoader11.16215, BitDefender: Trojan.GenericKD.1899922, AVAST4: Win32:Injector-CBV [Trj] )[*] c:\users\админ\appdata\roaming\владимир-пк\twunk_16.exe - [B]Trojan.Win32.Yakes.gmcr[/B] ( DrWEB: BackDoor.Andromeda.267, BitDefender: Trojan.GenericKD.1898198, AVAST4: Win32:Zbot-UOM [Trj] )[*] c:\users\9734~1\appdata\local\temp\adobe\reader_sl.exe - [B]Worm.Win32.Ngrbot.aiqy[/B] ( DrWEB: BackDoor.Andromeda.267, BitDefender: Trojan.GenericKD.1902013, AVAST4: Win32:Injector-CBW [Trj] )[*] c:\users\9734~1\appdata\local\temp\adobe\reader_sl.exe - [B]Worm.Win32.Ngrbot.aiqi[/B] ( DrWEB: BackDoor.Andromeda.267, BitDefender: Gen:Variant.Zusy.109586, AVAST4: Win32:Zbot-UOM [Trj] )[/LIST][/LIST]