Printable View
Добрый день!
У меня возникли проблемы с ноутбуком, который временно был отдан в пользование младшему брату. У меня ощущение, что на ноутбуке куча различных вирусов, т.к. CureIt сваливает машину в бсод в безопасном режиме, а так же различное количество непонятных сервисов грузится вместе с системой.
Здравствуйте.
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] в [U]Hijackthis[/U]:[CODE]R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,[/CODE]
Отключите компьютер от интернета, а также [B]антивирус[/B] и/или файрвол.
Закройте все программы, выполните скрипт в [U]AVZ[/U]:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\uhvbuy.dll','');
QuarantineFile('C:\Program Files\AskSearch\bin\DefaultSearch.dll','');
DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');
DelBHO('{D4C56A33-3488-495B-8033-9BF834E276D8}');
QuarantineFile('C:\PROGRA~1\Webalta\WEBALT~1.DLL','');
DelBHO('{6d125299-c2a9-4dbc-bec3-6f7124e39a41}');
DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}');
DelBHO('{C94E154B-1459-4A47-966B-4B843BEFC7DB}');
QuarantineFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll','');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\TPHKDRV.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\IBMBLDID.sys','');
QuarantineFile('C:\Program Files\Webalta\WebaltaUpdaterService.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Ntfs.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\atapi.sys','');
QuarantineFile('C:\DOCUME~1\User\APPLIC~1\FieryAds\FieryAds.dll','');
QuarantineFile('C:\Documents and Settings\User\Application Data\AdSubscribe\AdSubscribe.dll','');
DeleteService('WebaltaController');
DeleteFile('C:\Documents and Settings\User\Application Data\AdSubscribe\AdSubscribe.dll');
DeleteFile('C:\DOCUME~1\User\APPLIC~1\FieryAds\FieryAds.dll');
DeleteFile('C:\Program Files\Webalta\WebaltaUpdaterService.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll');
DeleteFile('C:\PROGRA~1\Webalta\WEBALT~1.DLL');
DeleteFile('C:\Program Files\AskSearch\bin\DefaultSearch.dll');
DeleteFile('E:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\uhvbuy.dll');
DeleteFileMask('C:\Program Files\AskBarDis', '*.*', true);
DeleteDirectory('C:\Program Files\AskBarDis');
DeleteFileMask('C:\Program Files\AskSearch', '*.*', true);
DeleteDirectory('C:\Program Files\AskSearch');
DeleteFileMask('C:\Program Files\Webalta', '*.*', true);
DeleteDirectory('C:\Program Files\Webalta');
DeleteFileMask('C:\DOCUME~1\User\APPLIC~1\FieryAds', '*.*', true);
DeleteDirectory('C:\DOCUME~1\User\APPLIC~1\FieryAds');
DeleteFileMask('C:\Documents and Settings\User\Application Data\AdSubscribe', '*.*', true);
DeleteDirectory('C:\Documents and Settings\User\Application Data\AdSubscribe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(13);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!!!
Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы. Сделайте новые логи по правилам + лог [URL="http://virusinfo.info/showthread.php?t=40118"]gmer[/URL]
Вот новые логи
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\uhvbuy.dll');
DeleteFile('E:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(13);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится
Сохраните текст ниже как cleanup.bat в ту же папку, где находится 1ucx7n17.exe (gmer)
[CODE]1ucx7n17.exe -del service hizxpwsn
1ucx7n17.exe -del service iiojoqwl
1ucx7n17.exe -del service nibzbhg
1ucx7n17.exe -del file "C:\WINDOWS\system32\uhvbuy.dll"
1ucx7n17.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\nibzbhg"
1ucx7n17.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hizxpwsn"
1ucx7n17.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\iiojoqwl"
1ucx7n17.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\nibzbhg"
1ucx7n17.exe -del reg "HKLM\SYSTEM\controlset003\Services\iiojoqwl"
1ucx7n17.exe -del reg "HKLM\SYSTEM\controlset003\Services\nibzbhg"
1ucx7n17.exe -reboot[/CODE]И запустите cleanup.bat.
Компьютер перезагрузится!
[QUOTE]C:\WINDOWS\system32\DRIVERS\atapi.sys
C:\WINDOWS\system32\Drivers\Ntfs.sys[/QUOTE]
замените файлы чистыми с дистрибутива - [url]http://virusinfo.info/showthread.php?t=51654[/url]
Сделайте новый комплект логов
Новые логи.
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
ClearHostsFile;
SetAVZPMStatus(True);
RebootWindows(true);
end.[/CODE]
компьютер перезагрузится.
Сделайте [URL="http://virusinfo.info/~virusinf/showthread.php?t=43700"]такую[/URL] процедуру. Удалите [URL="http://virusinfo.info/showthread.php?t=27923"]Bonjour[/URL]
Обновите Internet Explorer до 8 версии.
Сделайте новый лог virusinfo_syscheck.zip и gmer
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]41[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\docume~1\user\applic~1\fieryads\fieryads.dll - [B]not-a-virus:AdWare.Win32.FearAds.gs[/B] ( DrWEB: Trojan.AdSubscribe.135, BitDefender: Gen:Adware.Heur.OO8aRKQpfiDk, AVAST4: Win32:FieryAds [Adw] )[*] c:\progra~1\webalta\webaltatoolbar.dll - [B]not-a-virus:AdWare.Win32.Webalt.b[/B] ( BitDefender: Adware.Generic.55396, AVAST4: Win32:Adware-gen [Adw] )[*] c:\progra~1\webalta\webalt~1.dll - [B]not-a-virus:AdWare.Win32.Webalt.b[/B] ( BitDefender: Adware.Generic.55396, AVAST4: Win32:Adware-gen [Adw] )[*] c:\windows\system32\drivers\atapi.sys - [B]Virus.Win32.Protector.c[/B] ( DrWEB: Trojan.DownLoad.47257, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.E virus, AVAST4: Win32:Cutwail-AD [Trj] )[*] c:\windows\system32\drivers\ntfs.sys - [B]Virus.Win32.Protector.c[/B] ( DrWEB: BackDoor.Bulknet.404, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.E virus, AVAST4: Win32:Cutwail-Y [Rtk] )[*] c:\windows\system32\ntos.exe - [B]Trojan-Spy.Win32.Zbot.vpn[/B] ( DrWEB: Trojan.Packed.424, BitDefender: Backdoor.Bot.76021, AVAST4: Win32:Delf-LZC [Drp] )[*] c:\windows\system32\uhvbuy.dll - [B]Net-Worm.Win32.Kido.ih[/B] ( DrWEB: Win32.HLLW.Autoruner.5555, BitDefender: Win32.Worm.Downadup.Gen, NOD32: Win32/Conficker.AA worm, AVAST4: Win32:Confi [Wrm] )[*] e:\autorun.inf - [B]Net-Worm.Win32.Kido.ir[/B] ( BitDefender: Worm.Autorun.VHG, AVAST4: BV:AutoRun-S [Wrm] )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]