Добрый день,
Все рекомендации выполнены, ничего не помогло.
Есть сходная тема, по аналогии сделал все логи, что запрашивали там.
Заранее спасибо.
Printable View
Добрый день,
Все рекомендации выполнены, ничего не помогло.
Есть сходная тема, по аналогии сделал все логи, что запрашивали там.
Заранее спасибо.
Уважаемый(ая) [B]Outlander[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Если нужно сделать что-то дополнительно-дайте знать. Компьютер на работе и после 18 час. доступв к нему не будет.
Спасибо.
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('s:\buhg2tmp\{9e7dc79d-e34c-4d59-a1e3-c25585daa4c2}.xpi','');
QuarantineFile('C:\Users\Buhg2\AppData\Local\Hostinstaller\15545587_installcube.exe','');
QuarantineFile('C:\Users\Buhg2\AppData\Roaming\fZiLimSyrnvgYK2edcO0dRL.exe','');
QuarantineFile('C:\Program Files (x86)\SavePass 1.1\f0f4dabf-6f82-44bb-be69-1bb6217d7ed2-5.exe','');
QuarantineFile('C:\Program Files (x86)\SavePass 1.1\f0f4dabf-6f82-44bb-be69-1bb6217d7ed2-4.exe','');
QuarantineFile('C:\Program Files (x86)\SavePass 1.1\f0f4dabf-6f82-44bb-be69-1bb6217d7ed2-11.exe','');
QuarantineFile('C:\Program Files (x86)\SavePass 1.1\f0f4dabf-6f82-44bb-be69-1bb6217d7ed2-10.exe','');
QuarantineFile('C:\Program Files (x86)\SavePass 1.1\f0f4dabf-6f82-44bb-be69-1bb6217d7ed2-1-7.exe','');
QuarantineFile('C:\Program Files (x86)\SavePass 1.1\f0f4dabf-6f82-44bb-be69-1bb6217d7ed2-1-6.exe','');
QuarantineFile('C:\Program Files (x86)\Shop and Save Up\9a496189-d898-4b8d-abc7-2c89d7516f88-5.exe','');
QuarantineFile('C:\Program Files (x86)\Shop and Save Up\9a496189-d898-4b8d-abc7-2c89d7516f88-4.exe','');
QuarantineFile('C:\Program Files (x86)\Shop and Save Up\9a496189-d898-4b8d-abc7-2c89d7516f88-11.exe','');
QuarantineFile('C:\Program Files (x86)\Shop and Save Up\9a496189-d898-4b8d-abc7-2c89d7516f88-10.exe','');
QuarantineFile('C:\Program Files (x86)\Shop and Save Up\9a496189-d898-4b8d-abc7-2c89d7516f88-1-7.exe','');
QuarantineFile('C:\Program Files (x86)\Shop and Save Up\9a496189-d898-4b8d-abc7-2c89d7516f88-1-6.exe','');
QuarantineFile('C:\Users\deb0\AppData\Local\Kometa\Application\kometa.exe','');
QuarantineFile('C:\Users\Buhg2\AppData\Roaming\MyDesktop\qweeeCL.exe','');
QuarantineFile('C:\Users\Buhg2\AppData\Local\SmartWeb\SmartWebHelper.exe','');
QuarantineFile('C:\Windows\system32\drivers\swsedrvr_vw_1_10_0_25.sys','');
DeleteService('swsedrvr_vw_1_10_0_25');
SetServiceStart('Dripkix', 4);
SetServiceStart('fupugeco', 4);
SetServiceStart('gilefywi', 4);
SetServiceStart('Service Mgr LuckyBright', 4);
SetServiceStart('Update Mgr LuckyBright', 4);
DeleteService('globalUpdatem');
DeleteService('globalUpdate');
QuarantineFile('C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe','');
QuarantineFile('C:\Users\Buhg2\AppData\Local\Tonotline.exe','');
DeleteService('Update Mgr LuckyBright');
DeleteService('Service Mgr LuckyBright');
DeleteService('gilefywi');
DeleteService('fupugeco');
DeleteService('Dripkix');
QuarantineFile('C:\ProgramData\Zitenop\Fixwarm.dll','');
QuarantineFile('c:\programdata\zitenop\zitenop.exe','');
TerminateProcessByName('c:\program files (x86)\common files\9466af57-1f38-4973-ab1c-22f7e17e2d6a\updater.exe');
QuarantineFile('c:\program files (x86)\common files\9466af57-1f38-4973-ab1c-22f7e17e2d6a\updater.exe','');
TerminateProcessByName('c:\programdata\9466af57-1f38-4973-ab1c-22f7e17e2d6a\plugins\10\plugin.exe');
TerminateProcessByName('c:\programdata\9466af57-1f38-4973-ab1c-22f7e17e2d6a\plugins\8\plugin.exe');
TerminateProcessByName('c:\programdata\9466af57-1f38-4973-ab1c-22f7e17e2d6a\plugins\5\plugin.exe');
TerminateProcessByName('c:\programdata\9466af57-1f38-4973-ab1c-22f7e17e2d6a\plugins\2\plugin.exe');
TerminateProcessByName('c:\programdata\9466af57-1f38-4973-ab1c-22f7e17e2d6a\plugins\7\plugin.exe');
TerminateProcessByName('c:\programdata\9466af57-1f38-4973-ab1c-22f7e17e2d6a\plugins\12\plugin.exe');
TerminateProcessByName('c:\programdata\9466af57-1f38-4973-ab1c-22f7e17e2d6a\plugins\3\plugin.exe');
TerminateProcessByName('c:\programdata\9466af57-1f38-4973-ab1c-22f7e17e2d6a\plugincontainer.exe');
QuarantineFile('c:\programdata\9466af57-1f38-4973-ab1c-22f7e17e2d6a\plugincontainer.exe','');
QuarantineFile('c:\programdata\9466af57-1f38-4973-ab1c-22f7e17e2d6a\plugins\7\plugin.exe','');
QuarantineFile('c:\programdata\9466af57-1f38-4973-ab1c-22f7e17e2d6a\plugins\2\plugin.exe','');
QuarantineFile('c:\programdata\9466af57-1f38-4973-ab1c-22f7e17e2d6a\plugins\5\plugin.exe','');
QuarantineFile('c:\programdata\9466af57-1f38-4973-ab1c-22f7e17e2d6a\plugins\8\plugin.exe','');
QuarantineFile('c:\programdata\9466af57-1f38-4973-ab1c-22f7e17e2d6a\plugins\3\plugin.exe','');
QuarantineFile('c:\programdata\9466af57-1f38-4973-ab1c-22f7e17e2d6a\plugins\10\plugin.exe','');
QuarantineFile('c:\programdata\9466af57-1f38-4973-ab1c-22f7e17e2d6a\plugins\12\plugin.exe','');
TerminateProcessByName('c:\program files (x86)\00000000-1447154653-0000-0000-d8cb8a15ae42\knsta23a.tmpfs');
QuarantineFile('c:\program files (x86)\00000000-1447154653-0000-0000-d8cb8a15ae42\knsta23a.tmpfs','');
TerminateProcessByName('c:\program files (x86)\00000000-1447154653-0000-0000-d8cb8a15ae42\hnsgdbb1.tmp');
QuarantineFile('c:\program files (x86)\00000000-1447154653-0000-0000-d8cb8a15ae42\hnsgdbb1.tmp','');
TerminateProcessByName('c:\program files (x86)\savepass 1.1\f0f4dabf-6f82-44bb-be69-1bb6217d7ed2-1-6.exe');
QuarantineFile('c:\program files (x86)\savepass 1.1\f0f4dabf-6f82-44bb-be69-1bb6217d7ed2-1-6.exe','');
TerminateProcessByName('C:\Program Files\Dripkix\Dripkix.exe');
QuarantineFile('C:\Program Files\Dripkix\Dripkix.exe','');
TerminateProcessByName('C:\Program Files\Dripkix\packages\fdc52b11-ee11-4ac0-8048-86e8389cc92a\Drip.exe');
QuarantineFile('C:\Program Files\Dripkix\packages\fdc52b11-ee11-4ac0-8048-86e8389cc92a\Drip.exe','');
DeleteFile('C:\Program Files\Dripkix\packages\fdc52b11-ee11-4ac0-8048-86e8389cc92a\Drip.exe','32');
DeleteFile('C:\Program Files\Dripkix\Dripkix.exe','32');
DeleteFile('c:\program files (x86)\savepass 1.1\f0f4dabf-6f82-44bb-be69-1bb6217d7ed2-1-6.exe','32');
DeleteFile('c:\program files (x86)\00000000-1447154653-0000-0000-d8cb8a15ae42\hnsgdbb1.tmp','32');
DeleteFile('c:\program files (x86)\00000000-1447154653-0000-0000-d8cb8a15ae42\knsta23a.tmpfs','32');
DeleteFile('c:\programdata\9466af57-1f38-4973-ab1c-22f7e17e2d6a\plugins\12\plugin.exe','32');
DeleteFile('c:\programdata\9466af57-1f38-4973-ab1c-22f7e17e2d6a\plugins\10\plugin.exe','32');
DeleteFile('c:\programdata\9466af57-1f38-4973-ab1c-22f7e17e2d6a\plugins\3\plugin.exe','32');
DeleteFile('c:\programdata\9466af57-1f38-4973-ab1c-22f7e17e2d6a\plugins\8\plugin.exe','32');
DeleteFile('c:\programdata\9466af57-1f38-4973-ab1c-22f7e17e2d6a\plugins\5\plugin.exe','32');
DeleteFile('c:\programdata\9466af57-1f38-4973-ab1c-22f7e17e2d6a\plugins\2\plugin.exe','32');
DeleteFile('c:\programdata\9466af57-1f38-4973-ab1c-22f7e17e2d6a\plugins\7\plugin.exe','32');
DeleteFile('c:\programdata\9466af57-1f38-4973-ab1c-22f7e17e2d6a\plugincontainer.exe','32');
DeleteFile('c:\program files (x86)\common files\9466af57-1f38-4973-ab1c-22f7e17e2d6a\updater.exe','32');
DeleteFile('C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe','32');
DeleteFile('C:\Windows\system32\drivers\swsedrvr_vw_1_10_0_25.sys','32');
DeleteFile('C:\Users\Buhg2\AppData\Local\SmartWeb\SmartWebHelper.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SmartWeb');
RegKeyParamDel('HKEY_USERS','S-1-5-21-1008205376-1991462947-3923919765-1001\Software\Microsoft\Windows\CurrentVersion\Run','MyDesktop');
DeleteFile('C:\Users\Buhg2\AppData\Roaming\MyDesktop\qweeeCL.exe','32');
DeleteFile('C:\Users\deb0\AppData\Local\Kometa\Application\kometa.exe','32');
DeleteFile('C:\Program Files (x86)\Shop and Save Up\9a496189-d898-4b8d-abc7-2c89d7516f88-1-7.exe','32');
DeleteFile('C:\Program Files (x86)\Shop and Save Up\9a496189-d898-4b8d-abc7-2c89d7516f88-1-6.exe','32');
DeleteFile('C:\Program Files (x86)\Shop and Save Up\9a496189-d898-4b8d-abc7-2c89d7516f88-10.exe','32');
DeleteFile('C:\Program Files (x86)\Shop and Save Up\9a496189-d898-4b8d-abc7-2c89d7516f88-11.exe','32');
DeleteFile('C:\Program Files (x86)\Shop and Save Up\9a496189-d898-4b8d-abc7-2c89d7516f88-4.exe','32');
DeleteFile('C:\Program Files (x86)\Shop and Save Up\9a496189-d898-4b8d-abc7-2c89d7516f88-5.exe','32');
DeleteFile('C:\Program Files (x86)\SavePass 1.1\f0f4dabf-6f82-44bb-be69-1bb6217d7ed2-1-6.exe','32');
DeleteFile('C:\Windows\Tasks\f0f4dabf-6f82-44bb-be69-1bb6217d7ed2-1-6.job','32');
DeleteFile('C:\Windows\Tasks\9a496189-d898-4b8d-abc7-2c89d7516f88-5_user.job','32');
DeleteFile('C:\Windows\Tasks\9a496189-d898-4b8d-abc7-2c89d7516f88-5.job','32');
DeleteFile('C:\Windows\Tasks\9a496189-d898-4b8d-abc7-2c89d7516f88-4.job','32');
DeleteFile('C:\Windows\Tasks\9a496189-d898-4b8d-abc7-2c89d7516f88-11.job','32');
DeleteFile('C:\Windows\Tasks\9a496189-d898-4b8d-abc7-2c89d7516f88-10_user.job','32');
DeleteFile('C:\Windows\Tasks\9a496189-d898-4b8d-abc7-2c89d7516f88-1-7.job','32');
DeleteFile('C:\Windows\Tasks\9a496189-d898-4b8d-abc7-2c89d7516f88-1-6.job','32');
DeleteFile('C:\Program Files (x86)\SavePass 1.1\f0f4dabf-6f82-44bb-be69-1bb6217d7ed2-1-7.exe','32');
DeleteFile('C:\Program Files (x86)\SavePass 1.1\f0f4dabf-6f82-44bb-be69-1bb6217d7ed2-10.exe','32');
DeleteFile('C:\Program Files (x86)\SavePass 1.1\f0f4dabf-6f82-44bb-be69-1bb6217d7ed2-11.exe','32');
DeleteFile('C:\Program Files (x86)\SavePass 1.1\f0f4dabf-6f82-44bb-be69-1bb6217d7ed2-4.exe','32');
DeleteFile('C:\Program Files (x86)\SavePass 1.1\f0f4dabf-6f82-44bb-be69-1bb6217d7ed2-5.exe','32');
DeleteFile('C:\Users\Buhg2\AppData\Roaming\fZiLimSyrnvgYK2edcO0dRL.exe','32');
DeleteFile('C:\Windows\Tasks\fZiLimSyrnvgYK2edcO0dRL.job','32');
DeleteFile('C:\Windows\Tasks\f0f4dabf-6f82-44bb-be69-1bb6217d7ed2-5_user.job','32');
DeleteFile('C:\Windows\Tasks\f0f4dabf-6f82-44bb-be69-1bb6217d7ed2-5.job','32');
DeleteFile('C:\Windows\Tasks\f0f4dabf-6f82-44bb-be69-1bb6217d7ed2-4.job','32');
DeleteFile('C:\Windows\Tasks\f0f4dabf-6f82-44bb-be69-1bb6217d7ed2-11.job','32');
DeleteFile('C:\Windows\Tasks\f0f4dabf-6f82-44bb-be69-1bb6217d7ed2-10_user.job','32');
DeleteFile('C:\Windows\Tasks\f0f4dabf-6f82-44bb-be69-1bb6217d7ed2-1-7.job','32');
DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job','32');
DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job','32');
DeleteFile('C:\Windows\system32\Tasks\9a496189-d898-4b8d-abc7-2c89d7516f88-1-6','64');
DeleteFile('C:\Windows\system32\Tasks\9a496189-d898-4b8d-abc7-2c89d7516f88-1-7','64');
DeleteFile('C:\Windows\system32\Tasks\9a496189-d898-4b8d-abc7-2c89d7516f88-10_user','64');
DeleteFile('C:\Windows\system32\Tasks\9a496189-d898-4b8d-abc7-2c89d7516f88-11','64');
DeleteFile('C:\Windows\system32\Tasks\9a496189-d898-4b8d-abc7-2c89d7516f88-4','64');
DeleteFile('C:\Windows\system32\Tasks\9a496189-d898-4b8d-abc7-2c89d7516f88-5','64');
DeleteFile('C:\Windows\system32\Tasks\9a496189-d898-4b8d-abc7-2c89d7516f88-5_user','64');
DeleteFile('C:\Windows\system32\Tasks\f0f4dabf-6f82-44bb-be69-1bb6217d7ed2-1-6','64');
DeleteFile('C:\Windows\system32\Tasks\f0f4dabf-6f82-44bb-be69-1bb6217d7ed2-1-7','64');
DeleteFile('C:\Windows\system32\Tasks\f0f4dabf-6f82-44bb-be69-1bb6217d7ed2-10_user','64');
DeleteFile('C:\Windows\system32\Tasks\f0f4dabf-6f82-44bb-be69-1bb6217d7ed2-11','64');
DeleteFile('C:\Windows\system32\Tasks\f0f4dabf-6f82-44bb-be69-1bb6217d7ed2-4','64');
DeleteFile('C:\Windows\system32\Tasks\f0f4dabf-6f82-44bb-be69-1bb6217d7ed2-5','64');
DeleteFile('C:\Windows\system32\Tasks\f0f4dabf-6f82-44bb-be69-1bb6217d7ed2-5_user','64');
DeleteFile('C:\Windows\system32\Tasks\fZiLimSyrnvgYK2edcO0dRL','64');
DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineCore','64');
DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineUA','64');
DeleteFile('C:\Windows\system32\Tasks\Install','64');
DeleteFile('C:\Windows\system32\Tasks\Soft installer','64');
DeleteFile('C:\Users\Buhg2\AppData\Local\Hostinstaller\15545587_installcube.exe','32');
DeleteFile('C:\Windows\system32\Tasks\Video Buzz','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] в Вашей теме.
[B][COLOR="Red"]Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи[/COLOR][/B]
Добрый день,
Спасибо, все выполнил, но файл карантина не загружается, пишет "Ошибка загрузки. Данный файл уже был загружен"
Повторные логи прилагаю.
[QUOTE=thyrex;1333422]
[B][COLOR="Red"]Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи[/COLOR][/B][/QUOTE]
Проблема похоже ушла. Правда почему то удалились драйвера для клиент банка бухгалтера.
Проверьте пожалуйста повторные логи из предыдущего сообщения. Все ли в порядке?
Спасибо.
Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]
[QUOTE=thyrex;1334074]Сделайте лог [URL="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/URL][/QUOTE]
Логи приложил.
[b]thyrex[/b],
Проверьте пожалуйста последние логи. Что то из вирусов похоже осталось. При перезагрузке компьютера меняется страница в интернет эксплорере на какой-то поиск.
Удалите в МВАМ все найденное