Таже проблема.Кстати с этого компа всё и началось.Логи прикрепляю.С уважением,Максим
Printable View
Таже проблема.Кстати с этого компа всё и началось.Логи прикрепляю.С уважением,Максим
Уважаемый(ая) [B]Rutger111[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"] правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Сделайте лог MBAM(ссылка в подписи).
[QUOTE=ARMA9000;845080]Сделайте лог MBAM(ссылка в подписи).[/QUOTE]
Все сделал.Смотрите.Правда этот комп к инету не подключен с марта месяца поэтому прогу обновить не смог.
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=57441]- Антивирус и Файрвол[/url]
[url=http://virusinfo.info/showthread.php?t=4905]- Системное восстановление[/url]
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('c:\documents and settings\all users\iexplore.exe','');
QuarantineFile('c:\documents and settings\localservice.nt authority\application data\wsnpoem\audio.dll','');
QuarantineFile('c:\documents and settings\networkservice.nt authority\application data\wsnpoem\audio.dll','');
QuarantineFile('c:\WINDOWS\system32\wsnpoem\audio(2).dll','');
QuarantineFile('c:\WINDOWS\system32\wsnpoem\audio(3).dll','');
QuarantineFile('c:\WINDOWS\system32\wsnpoem\audio.dll','');
QuarantineFile('c:\WINDOWS\system32\wsnpoem\audio.dll.cla','');
QuarantineFile('c:\WINDOWS\system32\wsnpoem\video.dll','');
DeleteFile('e:\Док\avz4\Infected\2011-11-27\avz00001.dta');
DeleteFile('e:\Док\avz4\Infected\2011-11-27\avz00002.dta');
DeleteFile('c:\documents and settings\all users\iexplore.exe');
DeleteFile('c:\documents and settings\localservice.nt authority\application data\wsnpoem\audio.dll');
DeleteFile('c:\documents and settings\networkservice.nt authority\application data\wsnpoem\audio.dll');
DeleteFile('c:\WINDOWS\system32\wsnpoem\audio(2).dll');
DeleteFile('c:\WINDOWS\system32\wsnpoem\audio(3).dll');
DeleteFile('c:\WINDOWS\system32\wsnpoem\audio.dll');
DeleteFile('c:\WINDOWS\system32\wsnpoem\audio.dll.cla');
DeleteFile('c:\WINDOWS\system32\wsnpoem\video.dll');
RegKeyParamDel('HKEY_USERS','.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer','{02FFAC45-0B10-5633-4296-1801F1A36678}');
RegKeyParamDel('HKEY_USERS','.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer','{F710FA10-2031-3106-8872-93A2B5C5C620}');
RegKeyParamDel('HKEY_USERS','S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer','{02FFAC45-0B10-5633-4296-1801F1A36678}');
RegKeyParamDel('HKEY_USERS','S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer','{F710FA10-2031-3106-8872-93A2B5C5C620}');
RegKeyParamDel('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network','UID');
RegKeyParamDel('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings','bf');
RegKeyParamDel('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings','bk');
RegKeyParamDel('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings','iu');
RegKeyParamDel('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings','mu');
RegKeyParamDel('HKLM','SYSTEM\CurrentControlSet\Services\block_reader','DisplayName');
RegKeyParamDel('HKLM','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RegKeyDel('HKCR','CLSID\{1408E208-2AC1-42D3-9F10-78A5B36E05AC}');
RegKeyDel('HKCU','SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7}');
RegKeyDel('HKEY_USERS','.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7}');
RegKeyDel('HKEY_USERS','S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7}');
RegKeyDel('HKCU','SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}');
RegKeyDel('HKEY_USERS','.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}');
RegKeyDel('HKEY_USERS','S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}');
RegKeyDel('HKCU','SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
RegKeyDel('HKEY_USERS','.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494E6CEC-7483-A4EE-0938-895519A84BC7}');
RegKeyDel('HKEY_USERS','S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494E6CEC-7483-A4EE-0938-895519A84BC7}');
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000);
RegKeyIntParamWrite('HKCU', 'ControlPanel\Desktop', 'HungAppTimeout', 5000);
RegKeyIntParamWrite('HKCU', 'ControlPanel\Desktop', 'WaitToKillAppTimeout', 20000);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
DeleteFileMask('c:\documents and settings\localservice.nt authority\application data\wsnpoem','*',true);
DeleteFileMask('c:\documents and settings\networkservice.nt authority\application data\wsnpoem','*',true);
DeleteFileMask('c:\WINDOWS\system32\wsnpoem','*',true);
DeleteDirectory('c:\documents and settings\localservice.nt authority\application data\wsnpoem');
DeleteDirectory('c:\documents and settings\networkservice.nt authority\application data\wsnpoem');
DeleteDirectory('c:\WINDOWS\system32\wsnpoem');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',2,3, true);
RebootWindows(true);
end.
[/code]
[color=#FF0000]Компьютер перезагрузится[/color]
[b]После перезагрузки:[/b]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.
- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])
+ лог полного сканирования mbam
[b]Rutger111[/b], ждём логи ;)
Извините за задержку,не был там где этот комп стоит.сегодня съездил.Результаты прикладываю.
Карантин тоже отправил
Файл сохранён как 111130_122823_quarantine_4ed6216787028.zip
Размер файла 24091676
MD5 4178a29e67d2c646e32a696bfc9693d1
А вот еще посмотрите съемный диск трансенд на 250 Гб,тоже чтото обнаружилось.
Жду ответа;)
Отключите восстановление системы.
Удалите в MBAM все, кроме:
[CODE]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
h:\Проги\coreldraw13_rus\CRACK\cdrsuitkg.exe (RiskWare.Tool.CK) -> No action taken.
h:\Проги\скринсейвер\заставка-аквариум\patch.exe (RiskWare.Tool.CK) -> No action taken.
[/CODE]
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=57441]- Антивирус и Файрвол[/url]
[url=http://virusinfo.info/showthread.php?t=4905]- Системное восстановление[/url]
подключите внешний винчестер
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('h:\system volume information\_restore{8fa00ae5-ac11-49f8-b544-a935b326ebd2}\RP906\A0196726.exe','');
QuarantineFile('h:\system volume information\_restore{8fa00ae5-ac11-49f8-b544-a935b326ebd2}\RP906\A0196727.exe','');
QuarantineFile('h:\system volume information\_restore{8fa00ae5-ac11-49f8-b544-a935b326ebd2}\RP906\A0196728.exe','');
QuarantineFile('h:\system volume information\_restore{8fa00ae5-ac11-49f8-b544-a935b326ebd2}\RP906\A0196729.exe','');
QuarantineFile('h:\system volume information\_restore{8fa00ae5-ac11-49f8-b544-a935b326ebd2}\RP906\A0196730.exe','');
DeleteFile('h:\system volume information\_restore{8fa00ae5-ac11-49f8-b544-a935b326ebd2}\RP906\A0196726.exe');
DeleteFile('h:\system volume information\_restore{8fa00ae5-ac11-49f8-b544-a935b326ebd2}\RP906\A0196727.exe');
DeleteFile('h:\system volume information\_restore{8fa00ae5-ac11-49f8-b544-a935b326ebd2}\RP906\A0196728.exe');
DeleteFile('h:\system volume information\_restore{8fa00ae5-ac11-49f8-b544-a935b326ebd2}\RP906\A0196729.exe');
DeleteFile('h:\system volume information\_restore{8fa00ae5-ac11-49f8-b544-a935b326ebd2}\RP906\A0196730.exe');
RegKeyDel('HKLM','SOFTWARE\MyCentria');
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000);
RegKeyIntParamWrite('HKCU', 'ControlPanel\Desktop', 'HungAppTimeout', 5000);
RegKeyIntParamWrite('HKCU', 'ControlPanel\Desktop', 'WaitToKillAppTimeout', 20000);
RegKeyStrParamWrite('HKCU','SOFTWARE\Microsoft\Internet Explorer\Main','Default_Page_URL','');
RegKeyStrParamWrite('HKCU','SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced','Start_ShowMyDocs','');
RegKeyStrParamWrite('HKLM','SOFTWARE\Microsoft\Security Center','AntiVirusDisableNotify','');
RegKeyStrParamWrite('HKLM','SOFTWARE\Microsoft\Security Center','FirewallDisableNotify','');
RegKeyStrParamWrite('HKLM','SOFTWARE\Microsoft\Security Center','UpdatesDisableNotify','');
DeleteFileMask('c:\program files\mycentria','*',true);
DeleteFileMask('c:\program files\mycentria\Firefox','*',true);
DeleteFileMask('c:\program files\mycentria\InfoBar','*',true);
DeleteDirectory('c:\program files\mycentria');
DeleteDirectory('c:\program files\mycentria\Firefox');
DeleteDirectory('c:\program files\mycentria\InfoBar');
ExecuteRepair(2);
ExecuteRepair(3);
ExecuteRepair(4);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.
[/code]
[color=#FF0000]Компьютер перезагрузится[/color]
- Сделайте повторные логи hijackthis.log и MBAM.
+ Проведите процедуру, которая описана в первом сообщении [url=http://virusinfo.info/showthread.php?t=3519][B]тут[/B][/url]. Результат загрузки напишите в сообщении здесь.
...
всё сделал.вот логи.только вот интернета нет там где этот комп находится(сотовые сети тоже не работают)по-этому обновить базы естественно не удалось.и браузеры....-я запустил(два),но без подключения.
Файл сохранён как 111202_124318_virusinfo_files_ROYAL_4ed8c7e640c05.zip
Размер файла 5775681
MD5 a40499028bb8c25c602db0697ea024cf
это тест на подозрительные файлы.жду ответа:)
Что с проблемами?
[QUOTE=миднайт;846547]Что с проблемами?[/QUOTE]
вроде все стало работать штатно,но.....Не знаю с чем это связано.дело в следующем:пытаюсь изменить один параметр,после чего комп при загрузке винды показывает синий экран с иероглифами и снова перегружается,и так бесконечно.А параметр такой-в свойствах системы,вкладка-дополнительно,раздел быстродействие-кнопка параметры,далее вкладка-дополнительно,там раздел-использование памяти.Вот тут ставлю галку на "оптимизировать работу системного кэша".Далее происходит,то что описано выше.С чем это связано?
[quote="Rutger111;846516"]это тест на подозрительные файлы.жду ответа[/quote]
это пополнение базы AVZ (облегчает проверку логов в будущем), ответ по этому карантину можете посмотреть [URL="http://virusinfo.info/showthread.php?t=3519&p=846529&viewfull=1#post846529"][B]здесь.[/B][/URL]
[QUOTE=regist;846801]это пополнение базы AVZ (облегчает проверку логов в будущем), ответ по этому карантину можете посмотреть [URL="http://virusinfo.info/showthread.php?t=3519&p=846529&viewfull=1#post846529"][B]здесь.[/B][/URL][/QUOTE]
Ясно.А что с этим вопросом?вроде все стало работать штатно,но.....Не знаю с чем это связано.дело в следующем:пытаюсь изменить один параметр,после чего комп при загрузке винды показывает синий экран с иероглифами и снова перегружается,и так бесконечно.А параметр такой-в свойствах системы,вкладка-дополнительно,раздел быстродействие-кнопка параметры,далее вкладка-дополнительно,там раздел-использование памяти.Вот тут ставлю галку на "оптимизировать работу системного кэша".Далее происходит,то что описано выше.С чем это связано?
Не надо переключать галочку на кэш. Оставьте для программ.