Вот новый лог, сделан уже после запуска вирусов
Printable View
Вот новый лог, сделан уже после запуска вирусов
Опять на диске G: зараза!
Оставьте его подключенным, но не открывайте.
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\bamgxhdk\jdevihmb.exe');
DeleteFile('G:\autorun.inf');
DeleteFile('G:\RECYCLER\S-2-6-52-2387763087-2417313274-034722120-4114\ClBqPTOa.exe');
DeleteFileMask('C:\Program Files\bamgxhdk', '*.*',true);
DeleteFileMask('G:\RECYCLER', '*.*',true);
DeleteDirectory('C:\Program Files\bamgxhdk');
DeleteDirectory('G:\RECYCLER');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
Сделал.
Вот новые логи
Чисто.
Скорее всего, потому что я не запускал ещё ни одной программы, вызывающей запуск вируса.
Что я сделал сейчас: попытался открыть обычную фотографию на компьютере, открылась как обычно, в ACDSee, но снова появился процесс opera.exe (4400КБ) и всё по новой (создалась папка в Program Files, в автозагрузке файл, в папке ACDSee файл acdseemgr.exe...)
Новые логи прикрепляю.
Может, что-нибудь в реестре править нужно чтоб избавиться окончательно от болезни?
Диск G - это что? Подключите его при выполнении скрипта
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\bamgxhdk\jdevihmb.exe');
DeleteFile('G:\RECYCLER\S-2-8-82-7858346758-6181540405-336047145-5046\rMlcBPdT.exe');
DeleteFile('G:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Сделайте новые логи
Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
Диск G - это флешка.
Сделал новые логи.
[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] [b]только указанные ниже записи[/b] [code]Заражённые ключи в реестре:
HKEY_CLASSES_ROOT\AppID\{7A33CE9E-4F33-4B4E-B263-6AEEAB6C3DC2} (Adware.BDSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{7A33CE9E-4F33-4B4E-B263-6AEEAB6C3DC2} (Adware.BDSearch) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{5BECD27B-DCF5-4DEF-B066-486A47245C03} (Adware.BDSearch) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{3A8C9D89-3271-45F4-98C0-56B0F5A16172} (Adware.BDSearch) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{2923508C-9425-4A61-B9CE-A98239055916} (Adware.BDSearch) -> No action taken.
HKEY_CLASSES_ROOT\BarBroker.BDBroker.1 (Adware.BDSearch) -> No action taken.
HKEY_CLASSES_ROOT\BarBroker.BDBroker (Adware.BDSearch) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{A7F05EE4-0426-454F-8013-C41E3596E9E9} (Trojan.Cinmus) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{D12F94FA-FC9A-41F7-B808-7FBB419DD7A6} (Trojan.Cinmus) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{009A8246-AB0A-4111-A53D-B78A929D3EF8} (Trojan.Cinmus) -> No action taken.
HKEY_CLASSES_ROOT\BaiduBar.Tool.1 (Trojan.Cinmus) -> No action taken.
HKEY_CLASSES_ROOT\BaiduBar.Tool (Trojan.Cinmus) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{A7F05EE4-0426-454F-8013-C41E3596E9E9} (Trojan.Cinmus) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{B580CF65-E151-49C3-B73F-70B13FCA8E86} (Trojan.Cinmus) -> No action taken.
HKEY_CLASSES_ROOT\BaiduBarX.ToolBand.1 (Trojan.Cinmus) -> No action taken.
HKEY_CLASSES_ROOT\BaiduBarX.ToolBand (Trojan.Cinmus) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{B580CF65-E151-49C3-B73F-70B13FCA8E86} (Trojan.Cinmus) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{E5D5D4A1-17F0-41D7-B1C6-0979F91E6F46} (Adware.BDSearch) -> No action taken.
HKEY_CLASSES_ROOT\BaiduBarEx.BDHomePage.2 (Adware.BDSearch) -> No action taken.
HKEY_CLASSES_ROOT\BaiduBarEx.BDHomePage (Adware.BDSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{E5D5D4A1-17F0-41D7-B1C6-0979F91E6F46} (Adware.BDSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{77FEF28E-EB96-44FF-B511-3185DEA48697} (Trojan.Cinmus) -> No action taken.
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
HKEY_CURRENT_USER\Software\baidu (Adware.Bdsearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Baidu (Trojan.Cinmus) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\BaiduBarX (Adware.BDSearch) -> No action taken.
Заражённые параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{B580CF65-E151-49C3-B73F-70B13FCA8E86} (Trojan.Cinmus) -> Value: {B580CF65-E151-49C3-B73F-70B13FCA8E86} -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{B580CF65-E151-49C3-B73F-70B13FCA8E86} (Trojan.Cinmus) -> Value: {B580CF65-E151-49C3-B73F-70B13FCA8E86} -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Value: option_1 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Value: option_2 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Value: option_3 -> No action taken.
Заражённые папки:
c:\documents and settings\администратор\application data\Baidu (Trojan.Cinmus) -> No action taken.
c:\documents and settings\администратор\application data\Baidu\Toolbar (Trojan.Cinmus) -> No action taken.
c:\documents and settings\администратор\application data\Baidu\Toolbar\downloadtmp (Trojan.Cinmus) -> No action taken.
Заражённые файлы:
c:\documents and settings\администратор\application data\ntuser.dat (VirTool.Obfuscator) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\jdevihmb.exe (Spyware.Zbot) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\PKey.exe (PUP.PSWTool.ProductKey) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\qlrbxpve.exe (Spyware.Zbot) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\svchostmgr.exe (Spyware.Zbot) -> No action taken.
c:\WINDOWS\MSPocnra.dll (Trojan.Hiloti) -> No action taken.
c:\WINDOWS\pss\jdevihmb.exestartup (Spyware.Zbot) -> No action taken.
g:\RECYCLER\s-2-8-82-7858346758-6181540405-336047145-5046\wLJRmumF.cpl (Virus.Ramnit) -> No action taken.
g:\RECYCLER\s-2-0-25-2184051220-7858662275-404467602-5217\sKykPifJ.exe (Spyware.Zbot) -> No action taken.
g:\RECYCLER\s-2-0-25-2184051220-7858662275-404467602-5217\jdsdhYiF.cpl (Virus.Ramnit) -> No action taken.
g:\ALL\REX\RECYCLER\s-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx (Worm.Conficker) -> No action taken.
c:\program files\common files\keylog.txt (Malware.Trace) -> No action taken.
c:\documents and settings\администратор\application data\Baidu\Toolbar\logex.dat (Trojan.Cinmus) -> No action taken.
c:\documents and settings\администратор\application data\Baidu\Toolbar\namedsites.dat (Trojan.Cinmus) -> No action taken.
c:\documents and settings\администратор\application data\Baidu\Toolbar\downloadtmp\version.xml (Trojan.Cinmus) -> No action taken.[/code]
Готово. Однако проблема с приложениями осталась.
Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]
Началось сканирование, файл regedit.exe is infected - после этого началась попытка создания точки восстановления, однако места на диске не хватает для этого.
Вопрос: есть ли какой-нибудь другой способ обнаружения вируса? Может, повторное сканирование mbam поможет?
На всякий снова сделал логи.
[QUOTE='van;776587']однако места на диске не хватает для этого.[/QUOTE]Освободите место. Вообще системный раздел не рекомендуется забивать под завязку
Раздел диска составляет 6 Гб, из них бОльшую часть занимает Windows, остальное "съел" вирус.
В моем случае поможет только переустановка системы?
6ГБ на системном разделе - это несерьезно
[QUOTE='van;776716']В моем случае поможет только переустановка системы?[/QUOTE]Как вариант - да. Ибо причина появления вируса заново неясна
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]16[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]