Всё выполнила как написано в Правилах, высылаю Вам ЛОГ
Помоги пожалуйста :'(
Printable View
Всё выполнила как написано в Правилах, высылаю Вам ЛОГ
Помоги пожалуйста :'(
все операции выполнять в нормальном режиме (не [B]SafeMode[/B])
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\restorer32_a.exe','');
QuarantineFile('C:\WINDOWS\iexplorer72.exe','');
QuarantineFile('C:\WINDOWS\System32\tssdis.exe','');
QuarantineFile('C:\WINDOWS\cmon.exe','');
QuarantineFile('C:\WINDOWS\CTFM0N.EXE','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1389184007-9776929342-666273835-8549\sysdate.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-1389184007-9776929342-666273835-8549\sysdate.exe');
DeleteFile('C:\WINDOWS\CTFM0N.EXE');
DeleteFile('C:\WINDOWS\cmon.exe');
DeleteFile('C:\WINDOWS\iexplorer72.exe');
DeleteFile('C:\WINDOWS\system32\restorer32_a.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
Я бы с удовольствием выполнила скрипт в пормальном режиме, но загрузить комп могу только в безопасном режиме.
Если загружать его в нормально режиме - он загружается полностью и через 2 сек на весь рабочий стол синяя полупрозрачная пелена и написано что моё ПО нелицензионное и что нужно отправить СМС на короткий номер.
За день до появления такой беды мне подключили интернет и я обновила антивирус, вечером все было нормально. А на утро по закрытии браузера появилось голубое нечто.
Выполняйте скрипт в безопасном, дальше должно уже заработать и в нормальном.
Компьютер загрузился в нормальнои режиме, спасибо за помощ!!!!
Запрощеннй карантин и новые ЛОГи прикрепляю к сообщению.
Жду дальнейших указаний :).
Еще раз спасибо за помощ!!!!!!!!:D
[B]virus.zip[/B] уберите из вложений и пришлите по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-9352212498-5049695351-417329666-7446\sysdate.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\eso.exe','');
TerminateProcessByName('c:\documents and settings\Администратор\restorer32_a.exe');
QuarantineFile('c:\documents and settings\Администратор\restorer32_a.exe','');
DeleteFile('c:\documents and settings\Администратор\restorer32_a.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-9352212498-5049695351-417329666-7446\sysdate.exe');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','restorer32_a');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
[B]Обновите базы AVZ[/B]
Сделайте новые логи
Простите, не могла с первого раза понять что означает "Прислать запрошенный карантин", не смотря на то что это самые видные слова.
[size="1"][color="#666686"][B][I]Добавлено через 20 минут[/I][/B][/color][/size]
[B]Обновила базы AVZ
[/B]Сделала новые логи
Что дальше, господа хакеры?:)
[QUOTE='kuschak;478001']Сделала новые логи [/QUOTE]
И где они :) ?
Ой, виновата!:D
Логи выкладывайте по отдельности, а не общим архивом - сейчас вот вместо virusinfo syscheck вы virusinfo cure вложили. Выполните скрипт
[code]begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\Администратор\bwjmq.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\vpudfqfu.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\sptvihvz.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ozpymagu.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\ozpymagu.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\sptvihvz.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\vpudfqfu.sys');
DeleteFile('C:\Documents and Settings\Администратор\bwjmq.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSConfig');
BC_ImportALL;
BC_DeleteSvc('vpudfqfu');
BC_DeleteSvc('sptvihvz');
BC_DeleteSvc('ozpymagu');
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_cleaner.log');
BC_Activate;
ExecuteWizard('TSW', 3, 3, true);
RebootWindows(true);
end.[/code]
Карантин закачайте, логи повторите
Выполняю указания :)
Диск Е - это флешка у вас или локальный диск? Если флешка во время выполнения скрипта она должна быть вставлена. Включите AVZPM - установить драйвер расширенного мониторинга процессов, выполните скрипт
[code]begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
QuarantineFile('E:\folder.tmp/tmp.exe','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('C:\WINDOWS\System32\Drivers\pfragqeq.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\pfragqeq.sys');
DeleteFile('E:\autorun.inf');
DeleteFile('E:\folder.tmp/tmp.exe');
BC_ImportALL;
BC_DeleteSvc('pfragqeq');
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_cleaner.log');
BC_Activate;
RebootWindows(true);
end.[/code]
Пофиксите Hijackthis
[code]R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe[/code]
Карантин закачайте, логи повторите
Обьясните пожалуйста, что означает:
"Пофиксите Hijackthis
Код:
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe"
[url]http://virusinfo.info/showthread.php?t=4491[/url]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]24[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\администратор\bwjmq.exe - [B]Trojan.Win32.Agent.cxte[/B] ( DrWEB: Trojan.Siggen.4997, BitDefender: Trojan.Agent.ANQK )[*] c:\documents and settings\администратор\eso.exe - [B]Trojan.Win32.Agent.cxte[/B] ( DrWEB: Trojan.Siggen.4997, BitDefender: Trojan.Agent.ANQK )[*] c:\documents and settings\администратор\restorer32_a.exe - [B]Backdoor.Win32.HareBot.on[/B] ( DrWEB: Trojan.DownLoad.41506, BitDefender: Trojan.Generic.2495320 )[*] c:\recycler\s-1-5-21-1389184007-9776929342-666273835-8549\sysdate.exe - [B]P2P-Worm.Win32.Palevo.jsf[/B] ( DrWEB: Win32.HLLW.Lime.22, BitDefender: Worm.P2P.Palevo.J, NOD32: Win32/Peerfrag.DZ worm, AVAST4: Win32:Palevo-C [Trj] )[*] c:\recycler\s-1-5-21-9352212498-5049695351-417329666-7446\sysdate.exe - [B]P2P-Worm.Win32.Palevo.jsf[/B] ( DrWEB: Win32.HLLW.Lime.22, BitDefender: Worm.P2P.Palevo.J, NOD32: Win32/Peerfrag.DZ worm, AVAST4: Win32:Palevo-C [Trj] )[*] c:\windows\cmon.exe - [B]Trojan-Ransom.Win32.VB.bf[/B] ( DrWEB: Trojan.Fakealert.5261, NOD32: Win32/LockScreen.BP trojan )[*] c:\windows\iexplorer72.exe - [B]Trojan.Win32.Buzus.cbvq[/B] ( DrWEB: BackDoor.IRC.Letmein.13, BitDefender: Trojan.Generic.2536364, NOD32: Win32/AutoRun.IRCBot.CY worm, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\restorer32_a.exe - [B]Backdoor.Win32.HareBot.on[/B] ( DrWEB: Trojan.DownLoad.41506, BitDefender: Trojan.Generic.2495320 )[/LIST][/LIST]