Помогите пожалуйста убить вирус
Вот вложения:
Printable View
Помогите пожалуйста убить вирус
Вот вложения:
[URL="http://virusinfo.info/showthread.php?t=4905"]Отключите восстановление системы[/URL]
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] в Hijackthis:[CODE]R3 - URLSearchHook: (no name) - - (no file)[/CODE]
Обновите базы AVZ!!!
Отключите компьютер от интернета, а также [B]антивирус[/B] и/или [B]файрвол[/B].
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\USB.exe','');
QuarantineFile('C:\Documents and Settings\1\Шаблоны\Brengkolang.com','');
QuarantineFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\BLUE.exe','');
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe','');
QuarantineFile('C:\Documents and Settings\1\Local Settings\Application Data\smss.exe','');
DeleteFile('C:\Documents and Settings\1\Local Settings\Application Data\smss.exe');
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-21CX3C644241');
DeleteFile('C:\Documents and Settings\1\Шаблоны\Brengkolang.com');
DeleteFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\USB.exe');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe');
DeleteFile('C:\Windows\Tasks\At1.job');
DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\BLUE.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tok-Cirrhatus');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Tok-Cirrhatus');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Tok-Cirrhatus');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','FIREWALL SERVICE');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы. Сделайте новые логи по правилам (virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log)
Обновить почему-то не получается:( Пишет "ошибка в ходе автоматического обновления...".
Запрошенный карантин:
Файл сохранён как 100412_145401_virusinfo_cure_4bc2fbc961d93.zip
Размер файла 22563
MD5 4efc3b874b2eb278235f5111aac49c83
Новые логи:
Скачайте [URL="http://exfile.ru/94927"]отсюда[/URL] архив с новыми базами, распакуйте его. Удалите папку [B]Base [/B]и скопируйте вместо неё разархивированную. Сделайте новые логи.
Базу обновил. Вот новые вложения:
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
QuarantineFile('c:\program files\creative\mediasource\go\ctcmsgo.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\atapi.sys','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте [URL="http://virusinfo.info/showthread.php?t=53070"]такой лог [/URL].
Карантин отослал.
При проверке malwarebytes на диске С нашёлся 1 инфицированный файл,а при дальнейшей проверке диска Е вылетел синий экран смерти и компьютер перезагрузился. При попытке скана диска Е AVZ, снова вылезает синий экран на котором:
IRQL_NOT_LESS_OR_EQUAL
.
.
.
STOP: 0x0000000A (0x2CC73033,0x000000001C,0x000000000)
Beginning dump of physical memory.
Physical memory dump complete.
[size="1"][color="#666686"][B][I]Добавлено через 1 час 32 минуты[/I][/B][/color][/size]
При скане дисков AVZ постоянно высвечивается это:
[COLOR="Red"]C:\WINDOWS\system32\ctagent.dll --> Подозрение на Keylogger или троянскую DLL [/COLOR]
Так же прикреплю скрин:
Хелперы,помогите плиз!..
Вот что показал Malwarebytes:
+ ЛОГ
1.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\Desktop.ini ','');
DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\Desktop.ini ');
QuarantineFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini ','');
DeleteFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini ');
QuarantineFile('C:\WINDOWS\svchost.exe','');
DeleteFile('C:\WINDOWS\svchost.exe');
QuarantineFile('C:\Program Files\ICQToolbar\toolbaru.dll ','');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
2. удалить в MBAM
[CODE]
Зараженные ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-21cx3c644241} (Worm.AutoRun) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\powermanager (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> No action taken.
Зараженные папки:
C:\RESTORE\k-1-3542-4232123213-7676767-8888886 (Trojan.Agent) -> No action taken.
C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> No action taken.
C:\Documents and Settings\1\Local Settings\Application Data\Bron.tok-12-12 (Worm.Brontok) -> No action taken.
C:\Documents and Settings\1\Local Settings\Application Data\Bron.tok-12-13 (Worm.Brontok) -> No action taken.
C:\Documents and Settings\1\Local Settings\Application Data\Bron.tok-12-14 (Worm.Brontok) -> No action taken.
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Bron.tok-12-13 (Worm.Brontok) -> No action taken.
[/CODE]
- Сделайте повторные логи virusinfo_syscheck.zip и MBAM
Карантин закачал
Вот новые логи:
1. Закройте все приложения, и запустите используемый в Вашей системе интернет браузер (IE, FireFox, Opera ... - если применяется несколько браузеров, то можно запустить их все, это требуется, чтобы AVZ мог проанализировать используемые браузерами модули расширения и плагины)
2. AVZ, меню "Файл\Стандартные скрипты". В открывшемся окне необходимо отметить скрипт номер 4 ("Скрипт сбора неопознанных и подозрительных файлов") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 0.5-2 минуты. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
Закачать архив с файлами можно здесь [url]http://virusinfo.info/upload_clean.php[/url]
Обратите внимание на отчёт после завершения закачки:
Размер закачанного файла
MD5 закачанного файла
Имя файла на сервере (добавляется случайная часть во избежании конфликтов имени)
[code]Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180[/code]
Установите SP3 и вышедшие после него обновления (может потребоваться активация), обновите браузер до IE8
Файл сохранён как 100413_162927_virusinfo_files_1-44D4388A0484_4bc463a7c95b0.zip
Размер файла 4004716
MD5 3105331c34e7ec7d5ec2a3eea7ff97f7
Обновления сейчас поищу
[URL="http://www.microsoft.com/Downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4"]Service Pack 3[/URL](может потребоваться активация)
[URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet-Explorer 8[/URL].(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]
Установил IE 8 и СП3. Сделать какие-нибудь логи?
нет на этом лечение можно считать законченным
Почему-то стало намного хуже((( Видеофайлы перестали открываться и после попытки открытия видеофайла происходит полный сбор системы,шрифтов и т.д...
Вам необходимо было обновить систему, она у вас дырявая как решето была. СП3 с майкрософт качали? Объясните подробнее суть проблемы - какой программой открываете, с каким расширением видеофайл, и что происходит при открытии
СП3 качал с майкрософта.
Смотрите какая штука: если просто запустить компьютер и после сканирования (AVZ) не трогать файлы,которые он находит как подозрительные ("Подозрение на Keylogger или троянскую DLL" и ещё какие-то перехватчики),то компьютер работает абсолютно нормально.
Если же начать лечить(удалять) эти файлы,то происходят зависания системы,перестают открываться все программы,шрифты слетают,диспетчер задач не открывается,видеофайлы не открываются.
Прогнал сейчас ещё раз MBM,в нём всё чисто. Его надо удалить из системы?
[QUOTE='Saviour;621173']не трогать файлы,которые он находит как подозрительные ("Подозрение на Keylogger или троянскую DLL" и ещё какие-то перехватчики),то компьютер работает абсолютно нормально.
Если же начать лечить(удалять) эти файлы,то происходят зависания системы,[/QUOTE]
Это легитимные файлы, их не надо трогать. Вообще не надо ничего лечить и удалять, если вам явно не указали на это хелперы, если что неясно - спрашивайте, вам обязательно ответят
МВАМ удалите
Ребят,ничего не помогло,опять всё как и было. Постоянные перезагрузки,синие экраны. При сканировании других жёстких дисков AVZ постоянно при появлениие этой строки (Прямое чтение C:\DOCUME~1\1\LOCALS~1\Temp\avz_3128_1.tmp) "орёт" мой антивирус (НОД32) находя данный вирус: Win32/TrojanClicker.Small.IS
Вот выкладываю скрины того,что у меня с компом происходит: