Болеет 3 компьютера, сейчас лечу ноутбук на win xp, dr web cure it в безопасном режиме лечился, результатов нет.
Необходимые файлы прикладываю.
PS: как удалить старые вложения?
Printable View
Болеет 3 компьютера, сейчас лечу ноутбук на win xp, dr web cure it в безопасном режиме лечился, результатов нет.
Необходимые файлы прикладываю.
PS: как удалить старые вложения?
Уважаемый(ая) [B]Valter[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
1) [QUOTE][B][COLOR=Navy]Внимание !!![/COLOR][/B] База поcледний раз обновлялась 23.02.2014 [B]необходимо обновить базы[/B] при помощи автоматического обновления (Файл/Обновление баз). Протокол антивирусной утилиты AVZ версии 4.43.[/QUOTE]
Пожалуйста, обновите базы и сделайте новые логи.
2)
Закройте все программы
Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=130828]- Антивирус и Файрвол[/url]
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -
[code]
begin
ExecuteAVUpdate;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
TerminateProcessByName('c:\docume~1\admin\locals~1\temp\4aojw.exe');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-447317915\7390901.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862308-13185124\7t11y1q.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862308-131091\7ab45pq.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862308-13108454\78845pq.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862308-131084541\7a8845pq.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862308-1185124\7ty1q.exe','');
QuarantineFile('C:\Program Files\Common Files\CreativeAudio\zthzjnxuc.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\Update\MSupdate.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\Identities\Waaoak.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Adobe\Reader_sl.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\kusadtylds.exe','');
QuarantineFile('C:\DOCUME~1\ALLUSE~1\msbzz.exe','');
QuarantineFile('c:\docume~1\admin\locals~1\temp\4aojw.exe','');
DeleteFile('c:\docume~1\admin\locals~1\temp\4aojw.exe','32');
DeleteFile('C:\DOCUME~1\ALLUSE~1\msbzz.exe','32');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\kusadtylds.exe','32');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Adobe\Reader_sl.exe','32');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Identities\Waaoak.exe','32');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Update\MSupdate.exe','32');
DeleteFile('C:\Program Files\Common Files\CreativeAudio\zthzjnxuc.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862308-1185124\7ty1q.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862308-131084541\7a8845pq.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862308-13108454\78845pq.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862308-131091\7ab45pq.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862308-13185124\7t11y1q.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-447317915\7390901.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','414057012');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Adobe System Incorporated');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MicrosoftStCnt');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Waaoak');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Manager');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CreativeAudio');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CreativeAudio');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','7ry12134');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','79a878op14');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','79878op14');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','79bop14');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','7ry1114');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','77901435');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU',2,3,true);
ExecuteWizard('SCU',2,2,true);
BC_Activate;
RebootWindows(true);
end.
[/code]
[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]
[b]После перезагрузки:[/b]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.
- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])
1. Базы обновил, вчера этого сделать не получалось
2. Сделал все точно по инструкции.
Здравствуйте!
- Проведите [url=http://virusinfo.info/content.php?r=290-virus-detector][b]эту[/b][/url] процедуру. Полученную ссылку после загрузки карантина [b]virusinfo_auto_имя_вашего_ПК.zip[/b] через [url=http://virusinfo.info/virusdetector/uploadform.php][b]данную форму[/b][/url] напишите в своём в сообщении здесь.
Закройте все программы
Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=130828]- Антивирус и Файрвол[/url]
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-44731715\73u3e1.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-44731715\73u3e1.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','77353435');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
[/code]
[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]
[b]После перезагрузки:[/b]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.
- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])
Скачайте [url="http://data-cdn.mbamupdates.com/v0/program/data/mbam-setup-1.75.0.1300.exe"]Malwarebytes' Anti-Malware[/url]. Установите (во время установки откажитесь от использования [B]бесплатного тестового периода[/B]), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "[b]Custom Scan[/b]" ("[B]Пользовательское сканирование[/B]"), нажмите "[b]Scan Now[/b]" ("[B]Сканировать сейчас[/B]"), отметьте все диски. В выпадающих списках PUP и PUM выберите "[b]Warn user about detections[/b]" ("[B]Предупредить пользователя об обнаружении[/B]"). Нажмите нажмите "[b]Start Scan[/b]" ("[B]Запуск проверки[/B]"). После сканирования нажмите [b]Export Log[/b], сохраните в формате txt и прикрепите его к следующему посту.
[B][COLOR="Red"]Самостоятельно ничего не удаляйте!!![/COLOR][/B]
Если лог не открылся, то найти его можно в следующей папке:
[CODE]%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs[/CODE] Файл требующегося лога имеет имя [U]mbam-log-[data] (time).txt[/U], например: [I]mbam-log-2014-04-09 (07-32-51).txt[/I]
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. [url=http://data.mbamupdates.com/tools/mbam-rules.exe]Загрузить обновление [B]MBAM[/B][/URL].
Из mbam не могу сделать экспорт вообще, copy to clipboard не работает, при попытке сохранить в txt mbam закрывается, не сохраняя файл.
По пути [COLOR=#555555]%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs ничего нет.[/COLOR]
[quote="Valter;1153691"]Из mbam не могу сделать экспорт вообще, copy to clipboard не работает, при попытке сохранить в txt mbam закрывается, не сохраняя файл.
По пути %appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs ничего нет.[/quote]
а во время обновления баз от обновления программы вы отказались? У меня такое чувство, что вы обновились до второй версии. А там как раз подобные баги ;).
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
+ - Проведите [url=http://virusinfo.info/content.php?r=290-virus-detector][b]эту[/b][/url] процедуру. Полученную ссылку после загрузки карантина [b]virusinfo_auto_имя_вашего_ПК.zip[/b] через [url=http://virusinfo.info/virusdetector/uploadform.php][b]данную форму[/b][/url] напишите в своём в сообщении здесь.
[url]http://virusinfo.info/virusdetector/report.php?md5=12DB01CFC57C33D5ECAD9EC45FB7EC84[/url]
лог MBAM ещё сделайте.
done
[url=http://virusinfo.info/showthread.php?t=53070&p=493584&viewfull=1#post493584]Поместите в карантин МВАМ[/url] всё кроме
[CODE]Объекты реестра обнаружены: 4
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowHelp (PUM.Hijack.StartMenu) -> Плохо: (0) Хорошо: (1) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Мои документы\Dropbox\Public\WinRAR 4.20 Final.rar (RiskWare.Tool.CK) -> Действие не было предпринято.
[/CODE]
сделайте новый лог сканирования MBAM.
сделал
[LIST=1][*]Скачайте [B][URL="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/URL][/B] (uVS)[*]Извлеките uVS из [I]архива[/I] или из [I]zip-папки[/I]. [*]Закройте все программы, [B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО.[*]Откройте папку с распакованной утилитой [B]uVS[/B] и запустите файл [B]start.exe[/B]. В открывшимся окне выберите пункт "[B]Запустить под текущим пользователем[/B]".[*]Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
[CODE];uVS v3.82 script [http://dsrt.dyndns.org]
adddir %SystemDrive%\Documents and Settings\Admin\Application Data\
crimg
[/CODE][*]В [B]uVS[/B] выберите пункт меню "[B]Скрипт[/B]" => "[B]Выполнить скрипт находящийся в буфере обмена...[/B]"[*]Нажмите на кнопку "[B]Выполнить[/B]" и дождитесь окончания работы программы.[*]После этого в папке с программой будет создан образ автозапуска название, которого имеет формат [B]"имя_компьютера_дата_сканирования"[/B]. Прикрепите этот образ к следующему сообщению[*][INDENT][SIZE="1"][B]!!! Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [B]Windows XP[/B] так и есть. В [B]Windows Vista[/B] и [B]Windows 7[/B] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [B]Запуск от имени Администратора[/B], при необходимости укажите пароль администратора и нажмите [B]"Да"[/B].[/SIZE][/INDENT][/LIST]
Образа автозапуска в папке нет, а вот архив имеется, только вот он не загружается на форум, кончилось место, удалить старые вложения не знаю как, об этом еще в первом посте написал :(
[URL="http://virusinfo.info/showthread.php?t=130567"]Как удалить вложения?[/URL]
Если не поместится загрузите на [url]http://rghost.ru/[/url] и оставьте ссылку на скачивание.
поместился
[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS:[/url]
[code]
;uVS v3.83 BETA 25 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
breg
addsgn 1A0A339A5583528CF42B627DA804DEC9E946303ADAAC943CA1DBCE7C25CEFA00070348131A45AE9BDC710F47CD526DF68A2E63A1BE9B3BE4A62B803B4C520663 8 BackDoor.IRC.NgrBot.146 [DrWeb]
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\6B.EXE
bl 3E4C7BEE707A69FA0665E76B61B3A94D 412672
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\6B.EXE
addsgn 1A29599A5583528CF42B627DA80491E92957E8D261072E78852BC8BC50D6F2882FD44E031A5175E11A8084CDDDCF75DEF69BCC7E218BD6AD1153DB2DB303CA13 8 trojan
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\15.EXE
bl DC2CEDA7680C98F27D8AB9CFC952BFA7 358912
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\15.EXE
addsgn 1AB6349A5583528CF42B254E3143FE84C95AFEF6895B974EC1C3F679D9938DC5A6F73EA8C1DC1095D67F7B16D3CEB405825675A6A8254FA598A759D0388F9FBF 64 Trojan.Siggen.65341 [DrWeb]
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\C731200
bl 5E11F39501BC972D8C253B78147A8598 378368
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\C731200
deltmp
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\F.EXE
chklst
delvir
restart
[/code]
Упакуйте содержимое папки ZOO с помощью WinRar, 7-Zip или WinZip в архив формата [B].ZIP[/B] с паролем [B]virus[/B] и отправьте этот файл по ссылке "[B]Прислать запрошенный карантин[/B]" над первым сообщением в теме.
Сделайте новый лог uVS.
Карантин прислал, лог сделал.
[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS[/url] и пришлите карантин
[CODE];uVS v3.83 BETA 25 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
BREG
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\F.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\F.EXE
czoo
restart[/CODE]
сделайте новый лог полного сканирования MBAM
Карантин прислал, лог mbam прикладываю.