Доброго времени суток. Помогите пожалуйста излечить вирусы. Касперский постоянно ругается на подключение к soft.jajaca.com/lib.zip и каждый раз удаляет ряд вирусов под названиями j001.exe...d002.exe и т.д.
Доброго времени суток. Помогите пожалуйста излечить вирусы. Касперский постоянно ругается на подключение к soft.jajaca.com/lib.zip и каждый раз удаляет ряд вирусов под названиями j001.exe...d002.exe и т.д.
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('G:\usb.wsf','');
QuarantineFile('G:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\acpi24.dll','');
QuarantineFile('C:\WINDOWS\system32\035.tmp','');
DeleteService('iuldye');
DeleteService('acpi24Drv');
QuarantineFile('C:\WINDOWS\system32\acpi24.exe','');
DeleteService('acpi24');
DeleteFile('C:\WINDOWS\system32\acpi24.exe');
DeleteFile('C:\WINDOWS\system32\035.tmp');
DeleteFile('C:\WINDOWS\system32\acpi24.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
Сделал, логи прикрепил, карантин выслал.
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]
[COLOR="Black"][URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в hijackthis[/URL][/COLOR] -
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteService('e ds');
QuarantineFile('C:\WINDOWS\system32\UE7WLQXR\J001.exe','');
DeleteService('rfr');
QuarantineFile('C:\WINDOWS\system32\UE7WLQXR\G001.exe','');
DeleteService('windowss');
QuarantineFile('C:\WINDOWS\system32\V400WQSK\J001.exe','');
QuarantineFile('C:\WINDOWS\system32\waekaprnlib.dll','');
QuarantineFile('C:\Program Files\usb_anti_autorun\usb.wsf','');
DeleteFile('C:\WINDOWS\system32\waekaprnlib.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WaekSvc\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WaelSvc\Parameters','ServiceDll');
DeleteFile('C:\WINDOWS\system32\V400WQSK\J001.exe');
BC_DeleteSvc('windowss');
DeleteFile('C:\WINDOWS\system32\UE7WLQXR\G001.exe');
BC_DeleteSvc('rfr');
DeleteFile('C:\WINDOWS\system32\UE7WLQXR\J001.exe');
DeleteFileMask('C:\WINDOWS\system32\V400WQSK','*.*',true);
DeleteDirectory('C:\WINDOWS\system32\V400WQSK');
DeleteFileMask('C:\WINDOWS\system32\UE7WLQXR','*.*',true);
DeleteDirectory('C:\WINDOWS\system32\UE7WLQXR');
DeleteFileMask('C:\WINDOWS\system32\UE7WLQXR','*.*',true);
DeleteDirectory('C:\WINDOWS\system32\UE7WLQXR');
BC_DeleteSvc('e ds');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.
[B]Program Files\usb_anti_autorun\usb.wsf[/B] - сами ставили, знаете что это такое?
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]Гмер[/URL]
[B]Program Files\usb_anti_autorun\usb.wsf - [/B]это программа для удаления вируса авторан со съемных носителей, в свое время скаченая с инета.
Карантин отправил.
Лог GMER:
- Сохраните текст ниже как [B]1.bat[/B] в ту же папку, где находится [B]h2sqotl5.exe[/B](GMER) и запустите этот батник(1.bat):
[CODE]h2sqotl5.exe -del service gvqmdw
h2sqotl5.exe -del service tgafk
h2sqotl5.exe -del file "C:\WINDOWS\system32\skmqtd.dll"
h2sqotl5.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gvqmdw"
h2sqotl5.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\tgafk"
h2sqotl5.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\gvqmdw"
h2sqotl5.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\tgafk"
h2sqotl5.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\gvqmdw"
h2sqotl5.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\tgafk"
h2sqotl5.exe -reboot[/CODE]
Компьютер перезагрузится.
После перезагрузки:
- Сделайте повторные логи АВЗ
- Сделайте новый лог Gmer
Логи АВЗ и Гмер
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteService('WinHelp32');
DeleteFile('C:\WINDOWS\system32\WinHelp32.exe');
BC_DeleteSvc('WinHelp32');
DeleteFile('C:\WINDOWS\system32\t\mb\J001.exe');
BC_ImportAll;
ExecuteSysClean;
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet001\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
- Повторите логи АВЗ
Сделано.
Лог:
Выполните скрипт в АВЗ -
[CODE]var j:integer; NumStr:string;
begin
for j:=0 to 999 do
begin
if j=0 then
NumStr:='CurrentControlSet' else
if j<10 then
NumStr:='ControlSet00'+IntToStr(j) else
if j<100 then
NumStr:='ControlSet0'+IntToStr(j) else
NumStr:='ControlSet'+IntToStr(j);
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
end;
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
end;
end;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
end.[/CODE]
- прикрепите к сообщению файл [B]fystemRoot.log[/B], который появится в папке с AVZ
Сделано.
Что с проблемой?
Уррааа!!! Больше нет этих вирусов. Огромное спасибо Вам!!!
Рекомендуется
- Установить все [url=http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru]важные обновления[/url].
- Установить [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]IE 8[/url] - даже если Вы им не пользуетесь.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]22[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\program files\\usb_anti_autorun\\usb.wsf - [B]Worm.VBS.VirusProtection.d[/B] ( DrWEB: VBS.Autoruner.103, BitDefender: Generic.ScriptWorm.22F0F47D, AVAST4: VBS:VirusProtection-C )[*] c:\\windows\\system32\\acpi24.dll - [B]Trojan-Downloader.Win32.Agent.fccl[/B] ( DrWEB: Trojan.Siggen2.8159, BitDefender: Trojan.Generic.5483293, AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\waekaprnlib.dll - [B]Net-Worm.Win32.Kolab.mrz[/B] ( DrWEB: Trojan.Siggen2.8116, BitDefender: Gen:Variant.TDss.35, AVAST4: Win32:Alureon-LC [Trj] )[*] g:\\autorun.inf - [B]Worm.VBS.VirusProtection.c[/B] ( BitDefender: Trojan.Script.447839, NOD32: INF/Autorun worm, AVAST4: VBS:Malware-gen )[*] g:\\usb.wsf - [B]Worm.VBS.VirusProtection.d[/B] ( DrWEB: VBS.Autoruner.103, BitDefender: Generic.ScriptWorm.22F0F47D, AVAST4: VBS:VirusProtection-C )[/LIST][/LIST]