1. блокировал лицензионный dr.web
2. сам закрывает окна любого браузера
3. не дает запускать или устанавливать другие антивирусы
что делать? помогите!
в процессах висит куча файлов неизвестного происхождения...
Printable View
1. блокировал лицензионный dr.web
2. сам закрывает окна любого браузера
3. не дает запускать или устанавливать другие антивирусы
что делать? помогите!
в процессах висит куча файлов неизвестного происхождения...
Скачайте и запустите [B]KatesKiller.exe[/B]. [URL]http://support.kaspersky.ru/viruses/solutions?qid=208636943[/URL]
Затем логи
скачал, запустил, ничего не найдено. прочитал правила, касперский даже не устанавливается, hijack тоже, доктор веб блокирован для обновления, сканер не запускается. AVZ логи прикрепляю
отключился от сетки, запустил kateskiller еще раз, перезагрузился. Доктор начал находить всякие гадости, но сканер по прежнему не запускается. Удалось запустить устаноку касперского!
[QUOTE][B][B]Восстановление системы: включено [/B][/B][/QUOTE] Отключите!!! Перезагрузите ПК, выполните скрипт
[CODE]begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SetAVZPMStatus(True);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\ioserwemb.bat','');
QuarantineFile('C:\DOCUME~1\Carrida\LOCALS~1\Temp\rgtokypgepkxrqlsjw.exe .','');
QuarantineFile('C:\DOCUME~1\Carrida\LOCALS~1\Temp\ewmkjauopdbroqoysiska.exe','');
QuarantineFile('C:\DOCUME~1\Carrida\LOCALS~1\Temp\csgczogyxjftookskyg.exe .','');
QuarantineFile('C:\DOCUME~1\Carrida\LOCALS~1\Temp\bozsmyncyhaldaty.exe','');
QuarantineFile('c:\docume~1\carrida\locals~1\temp\pstcmo.exe','');
TerminateProcessByName('c:\docume~1\carrida\locals~1\temp\pstcmo.exe');
QuarantineFile('c:\windows\system32\pgvsqgzssfcrnolunclc.exe','');
TerminateProcessByName('c:\windows\system32\pgvsqgzssfcrnolunclc.exe');
DeleteFile('c:\windows\system32\pgvsqgzssfcrnolunclc.exe');
DeleteFile('c:\docume~1\carrida\locals~1\temp\pstcmo.exe');
DeleteFile('C:\DOCUME~1\Carrida\LOCALS~1\Temp\bozsmyncyhaldaty.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wekynueofjx');
DeleteFile('C:\DOCUME~1\Carrida\LOCALS~1\Temp\csgczogyxjftookskyg.exe .');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','tcjyowhskpel');
DeleteFile('C:\DOCUME~1\Carrida\LOCALS~1\Temp\ewmkjauopdbroqoysiska.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','iwicxkaqnxrdwuouk');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','binaoudmcf');
DeleteFile('C:\DOCUME~1\Carrida\LOCALS~1\Temp\rgtokypgepkxrqlsjw.exe .');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','bozsmyncyhaldaty');
DeleteFile('C:\ioserwemb.bat');
DeleteFile('C:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
Executerepair(6);
Executerepair(12);
Executerepair(17);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
затем следующий
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Выполнить еще такой скрипт
[CODE]var
i : integer;
KeyList : TStringList;
begin
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then
begin
if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\BITS исправлено на оригинальное.');
end;
if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\wuauserv исправлено на оригинальное.');
end;
end;
KeyList.Free;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
end.[/CODE]
файл [B]quarantine.zip[/B] закачайте по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B]
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению
отключить не получается, пишет: rundll не является приложением Win32
Выполните скрипты
скрипты выполнил, браузер работает, стало чуть получше. Логи прикрепляю (почему то они не обновляются)
Лог Hijack сделать сможете?
[size="1"][color="#666686"][B][I]Добавлено через 9 минут[/I][/B][/color][/size]
Попробуйте отключить восстановление системы.
Выполните скрипт
[CODE]begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\pgvsqgzssfcrnolunclc.exe','');
QuarantineFile('C:\WINDOWS\system32\iwicxkaqnxrdwuouk.exe','');
QuarantineFile('C:\WINDOWS\system32\ewmkjauopdbroqoysiska.exe','');
QuarantineFile('C:\WINDOWS\system32\csgczogyxjftookskyg.exe','');
QuarantineFile('C:\WINDOWS\system32\bozsmyncyhaldaty.exe','');
QuarantineFile('C:\DOCUME~1\Carrida\LOCALS~1\Temp\rgtokypgepkxrqlsjw.exe .','');
QuarantineFile('C:\DOCUME~1\Carrida\LOCALS~1\Temp\rgtokypgepkxrqlsjw.exe','');
QuarantineFile('C:\DOCUME~1\Carrida\LOCALS~1\Temp\iwicxkaqnxrdwuouk.exe','');
QuarantineFile('C:\DOCUME~1\Carrida\LOCALS~1\Temp\ewmkjauopdbroqoysiska.exe .','');
QuarantineFile('C:\DOCUME~1\Carrida\LOCALS~1\Temp\VU9X7nsE.sys','');
QuarantineFile('C:\DOCUME~1\Carrida\LOCALS~1\Temp\bozsmyncyhaldaty.exe','');
TerminateProcessByName('c:\docume~1\carrida\locals~1\temp\rxkcqqagbhu.exe');
QuarantineFile('c:\docume~1\carrida\locals~1\temp\rxkcqqagbhu.exe','');
TerminateProcessByName('c:\docume~1\carrida\locals~1\temp\pstcmo.exe');
QuarantineFile('c:\docume~1\carrida\locals~1\temp\pstcmo.exe','');
TerminateProcessByName('c:\docume~1\carrida\locals~1\temp\bozsmyncyhaldaty.exe');
QuarantineFile('c:\docume~1\carrida\locals~1\temp\bozsmyncyhaldaty.exe','');
QuarantineFile('C:\ioserwemb.bat','');
QuarantineFile('C:\sckaramyrxnvk.bat','');
QuarantineFile('C:\System Volume Information\_restore{ECD86570-C855-44B2-8124-955B60F4DD60}\RP1\A0000016.bat','');
QuarantineFile('C:\System Volume Information\_restore{ECD86570-C855-44B2-8124-955B60F4DD60}\RP1\A0000017.bat','');
QuarantineFile('C:\System Volume Information\_restore{ECD86570-C855-44B2-8124-955B60F4DD60}\RP1\A0000018.bat','');
QuarantineFile('C:\wekynueofjx.bat','');
QuarantineFile('C:\WINDOWS\Installer\3ef071.msi','');
QuarantineFile('C:\autorun.inf','');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\wekynueofjx.bat');
DeleteFile('C:\System Volume Information\_restore{ECD86570-C855-44B2-8124-955B60F4DD60}\RP1\A0000018.bat');
DeleteFile('C:\System Volume Information\_restore{ECD86570-C855-44B2-8124-955B60F4DD60}\RP1\A0000017.bat');
DeleteFile('C:\System Volume Information\_restore{ECD86570-C855-44B2-8124-955B60F4DD60}\RP1\A0000016.bat');
DeleteFile('C:\sckaramyrxnvk.bat');
DeleteFile('C:\ioserwemb.bat');
DeleteFile('c:\docume~1\carrida\locals~1\temp\bozsmyncyhaldaty.exe');
DeleteFile('c:\docume~1\carrida\locals~1\temp\pstcmo.exe');
DeleteFile('c:\docume~1\carrida\locals~1\temp\rxkcqqagbhu.exe');
DeleteFile('C:\DOCUME~1\Carrida\LOCALS~1\Temp\bozsmyncyhaldaty.exe');
DeleteFile('C:\DOCUME~1\Carrida\LOCALS~1\Temp\VU9X7nsE.sys');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wekynueofjx');
DeleteFile('C:\DOCUME~1\Carrida\LOCALS~1\Temp\ewmkjauopdbroqoysiska.exe .');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','bozsmyncyhaldaty');
DeleteFile('C:\DOCUME~1\Carrida\LOCALS~1\Temp\iwicxkaqnxrdwuouk.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','iwicxkaqnxrdwuouk');
DeleteFile('C:\DOCUME~1\Carrida\LOCALS~1\Temp\rgtokypgepkxrqlsjw.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','binaoudmcf');
DeleteFile('C:\DOCUME~1\Carrida\LOCALS~1\Temp\rgtokypgepkxrqlsjw.exe .');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','tcjyowhskpel');
DeleteFile('C:\WINDOWS\system32\bozsmyncyhaldaty.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','tenewgtgahyhxs');
DeleteFile('C:\WINDOWS\system32\csgczogyxjftookskyg.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wekynueofjx');
DeleteFile('C:\WINDOWS\system32\ewmkjauopdbroqoysiska.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','tcjyowhskpel');
DeleteFile('C:\WINDOWS\system32\iwicxkaqnxrdwuouk.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','wiskdocqltlvmia');
DeleteFile('C:\WINDOWS\system32\pgvsqgzssfcrnolunclc.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','sckaramyrxnvk');
BC_ImportAll;
ExecuteSysClean;
Executerepair(6);
Executerepair(17);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
затем следующий
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
и еще один
[CODE]var
i : integer;
KeyList : TStringList;
begin
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then
begin
if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\BITS исправлено на оригинальное.');
end;
if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\wuauserv исправлено на оригинальное.');
end;
end;
KeyList.Free;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
end.[/CODE]
файл [B]quarantine.zip[/B] закачайте по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B]
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению
здравствуйте!
все запускается, доктор обновился. HaJack запустил, скрипты выполнил, логи прикрепляю. Браузер пока сам закрывается, в корневой папке винды лежат непонятные файлы:
wiadebug
wiaservc
содержание:
2009-12-16 09:44:19:968 1748 738 Misc =========== Logging initialized (build: 7.2.6001.788, tz: +0300) ===========
2009-12-16 09:44:19:968 1748 738 Misc = Process: C:\WINDOWS\Explorer.EXE
2009-12-16 09:44:19:968 1748 738 Misc = Module: C:\WINDOWS\system32\wuaueng.dll
2009-12-16 09:44:19:968 1748 738 Shutdwn Install at shutdown: no updates to install
2009-12-16 09:44:19:968 1748 738 Shutdwn FATAL: WUCheckForUpdatesAtShutdown failed, hr=80240FFF
2009-12-16 09:44:43:203 720 f9c Misc =========== Logging initialized (build: 7.2.6001.788, tz: +0300) ===========
2009-12-16 09:44:43:203 720 f9c Misc = Process: \??\C:\WINDOWS\system32\winlogon.exe
2009-12-16 09:44:43:203 720 f9c Misc = Module: C:\WINDOWS\system32\wuaueng.dll
2009-12-16 09:44:43:203 720 f9c Shutdwn FATAL: WUAutoUpdateAtShutdown failed, hr=80240FFF
почему-то не сохраняются логи avz
Просканируйте ПК антивирусом, затем AVPTool. Сделайте логи.
доктор веб ничего не нашел. Логи AVP прикрепляю. Поведение странное: перед загрузкой винды появляется пустое окно с кнопкой "ок". В проводнике нарисовалась какая то удаленная папка в интернете.
Выполните скрипт в avz
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mmmsmoxjl.dll','');
DeleteFile('E:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
ПК перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
все сделал. касперский удалился
В логе чисто, что с проблемой?
Рекомендую обновить Windows SP2 до Windows SP3, возможно потребуется активация, + установите последние обновления на ОС.
спасибо, проблема вроде бы решена. блин как я вам благодарен - 127944093 дмитрий. торгую шинами, пишите anytime
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]49[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\docume~1\carrida\locals~1\temp\iwicxkaqnxrdwuouk.exe - [B]Trojan.Win32.Chydo.qk[/B][*] c:\windows\system32\bozsmyncyhaldaty.exe - [B]Trojan.Win32.Chydo.qk[/B][*] c:\windows\system32\ewmkjauopdbroqoysiska.exe - [B]Trojan.Win32.Chydo.qk[/B][*] c:\windows\system32\iwicxkaqnxrdwuouk.exe - [B]Trojan.Win32.Chydo.qk[/B][/LIST][/LIST]