Файловые вирусы сканером от DrWeb вычистил.
При инсталляции AVG компьютер зависает на проверке системы и дальше инсталляция не идет.
Файловые вирусы сканером от DrWeb вычистил.
При инсталляции AVG компьютер зависает на проверке системы и дальше инсталляция не идет.
О, вроде я уже понял в чем проблема, надо IE переустановить.
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\YB6E4~1.NES\LOCALS~1\Temp\Fhf .exe','');
QuarantineFile('C:\WINDOWS\Fbuqab.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\WHU26yyJ.exe','');
QuarantineFile('C:\WINDOWS\Fonts\4CeImQ7I.com','');
QuarantineFile('C:\WINDOWS\system32\sshnas21.dll','');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\Documents and Settings\Y.Nesterov\av_md.exe','');
SetServiceStart('k', 4);
DeleteService('k');
QuarantineFile('C:\WINDOWS\system32\o.sys','');
QuarantineFile('c:\windows\system32\les32.exe','');
DeleteFile('C:\WINDOWS\system32\o.sys');
DeleteFile('C:\Documents and Settings\Y.Nesterov\av_md.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','av_md');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
DeleteFile('C:\WINDOWS\system32\sshnas21.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SSHNAS\Parameters','ServiceDll');
DeleteFile('C:\WINDOWS\Fonts\4CeImQ7I.com');
DeleteFile('C:\Documents and Settings\All Users\Application Data\WHU26yyJ.exe');
DeleteFile('C:\WINDOWS\Fbuqab.exe');
DeleteFile('C:\DOCUME~1\YB6E4~1.NES\LOCALS~1\Temp\Fhf .exe');
DeleteFileMask('C:\Windows\Tasks', 'At*.job', true);
DeleteFile('C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job');
DeleteFile('C:\Windows\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
Скрипт выполнил. Карантин прислал. Логи повторил.
[CODE]Пофиксите в HiJack
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\SJXkj7a.exe,[/CODE]
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('Chipmunk', 4);
DeleteService('Chipmunk');
QuarantineFile('c:\windows\system32\rpm\temp_gads.exe','');
TerminateProcessByName('c:\windows\system32\les32.exe');
DeleteFile('c:\windows\system32\les32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи полиморфным AVZ (ссылка в моей подписи) + лог [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url]
карантин прислал.
логи прилагаю.
В этой группе файлов вирус дописал лишние пробелы перед расширением. Оставьте по одному экземпляру каждого файла, удалив лишние пробелы
[code]<pre>
c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart .exe
c:\program files\Camera Assistant Software for Toshiba\traybar .exe
c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM .exe
c:\program files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager .exe
c:\program files\iTunes\iTunesHelper .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
</pre>[/code]
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
[code]KillAll::
File::
c:\windows\TEMP\~TM1E.tmp
Driver::
Folder::
Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\sysgif32]
FileLook::
c:\windows\system32\les2005ut.exe
DirLook::[/code]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
готово
Это поправьте
[code]<pre>
c:\program files\Synaptics\SynTP\SynTPEnh .exe
c:\program files\uTorrent\uTorrent .exe
</pre>[/code]
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
[code]KillAll::
File::
c:\windows\system32\les2005ut.exe
Driver::
Folder::
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"uTorrent"="c:\program files\uTorrent\uTorrent.exe"
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\sysgif32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe -atboottime"
FileLook::
c:\windows\system32\les2005ut.exe
DirLook::[/code]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
есть логи
Что с установкой антивируса?
порядок. установил. работает.
[URL="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/URL]
Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url] (даже если им не пользуетесь)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]43[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\all users\application data\whu26yyj.exe - [B]Trojan.Win32.Powp.ahe[/B] ( DrWEB: Trojan.Siggen1.26788, BitDefender: Trojan.Generic.3840410, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\les32.exe - [B]Trojan-Downloader.Win32.Agent.dmoy[/B] ( DrWEB: Trojan.DownLoad1.57202, BitDefender: Gen:Trojan.Heur.PT.bmGfamH1e1k, AVAST4: Win32:Trojan-gen )[/LIST][/LIST]