Вирус делает ярлыки на флешке. [Worm.Win32.Ngrbot.agzn, Trojan.Win32.Yakes.ftgf, Trojan.Win32.Agent.idcu ]

Printable View

27.08.2014, 19:34
Valter

Вирус делает ярлыки на флешке. [Worm.Win32.Ngrbot.agzn, Trojan.Win32.Yakes.ftgf, Trojan.Win32.Agent.idcu ]

Болеет 3 компьютера, сейчас лечу ноутбук на win xp, dr web cure it в безопасном режиме лечился, результатов нет.
Необходимые файлы прикладываю.

PS: как удалить старые вложения?
27.08.2014, 19:35
Info_bot

Уважаемый(ая) [B]Valter[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
27.08.2014, 21:12
regist

1) [QUOTE][B][COLOR=Navy]Внимание !!![/COLOR][/B] База поcледний раз обновлялась 23.02.2014 [B]необходимо обновить базы[/B] при помощи автоматического обновления (Файл/Обновление баз). Протокол антивирусной утилиты AVZ версии 4.43.[/QUOTE]
Пожалуйста, обновите базы и сделайте новые логи.

2)

Закройте все программы

Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=130828]- Антивирус и Файрвол[/url]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
ExecuteAVUpdate;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
TerminateProcessByName('c:\docume~1\admin\locals~1\temp\4aojw.exe');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-447317915\7390901.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862308-13185124\7t11y1q.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862308-131091\7ab45pq.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862308-13108454\78845pq.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862308-131084541\7a8845pq.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862308-1185124\7ty1q.exe','');
QuarantineFile('C:\Program Files\Common Files\CreativeAudio\zthzjnxuc.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\Update\MSupdate.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\Identities\Waaoak.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Adobe\Reader_sl.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\kusadtylds.exe','');
QuarantineFile('C:\DOCUME~1\ALLUSE~1\msbzz.exe','');
QuarantineFile('c:\docume~1\admin\locals~1\temp\4aojw.exe','');
DeleteFile('c:\docume~1\admin\locals~1\temp\4aojw.exe','32');
DeleteFile('C:\DOCUME~1\ALLUSE~1\msbzz.exe','32');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\kusadtylds.exe','32');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Adobe\Reader_sl.exe','32');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Identities\Waaoak.exe','32');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Update\MSupdate.exe','32');
DeleteFile('C:\Program Files\Common Files\CreativeAudio\zthzjnxuc.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862308-1185124\7ty1q.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862308-131084541\7a8845pq.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862308-13108454\78845pq.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862308-131091\7ab45pq.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862308-13185124\7t11y1q.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-447317915\7390901.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','414057012');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Adobe System Incorporated');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MicrosoftStCnt');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Waaoak');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Manager');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CreativeAudio');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CreativeAudio');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','7ry12134');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','79a878op14');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','79878op14');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','79bop14');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','7ry1114');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','77901435');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU',2,3,true);
ExecuteWizard('SCU',2,2,true);
BC_Activate;
RebootWindows(true);
end.
[/code]

[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]

[b]После перезагрузки:[/b]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.

- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])
28.08.2014, 13:35
Valter

1. Базы обновил, вчера этого сделать не получалось

2. Сделал все точно по инструкции.
28.08.2014, 13:50
regist

Здравствуйте!

- Проведите [url=http://virusinfo.info/content.php?r=290-virus-detector][b]эту[/b][/url] процедуру. Полученную ссылку после загрузки карантина [b]virusinfo_auto_имя_вашего_ПК.zip[/b] через [url=http://virusinfo.info/virusdetector/uploadform.php][b]данную форму[/b][/url] напишите в своём в сообщении здесь.

Закройте все программы

Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=130828]- Антивирус и Файрвол[/url]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-44731715\73u3e1.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-44731715\73u3e1.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','77353435');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
[/code]

[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]

[b]После перезагрузки:[/b]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.

- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])

Скачайте [url="http://data-cdn.mbamupdates.com/v0/program/data/mbam-setup-1.75.0.1300.exe"]Malwarebytes' Anti-Malware[/url]. Установите (во время установки откажитесь от использования [B]бесплатного тестового периода[/B]), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "[b]Custom Scan[/b]" ("[B]Пользовательское сканирование[/B]"), нажмите "[b]Scan Now[/b]" ("[B]Сканировать сейчас[/B]"), отметьте все диски. В выпадающих списках PUP и PUM выберите "[b]Warn user about detections[/b]" ("[B]Предупредить пользователя об обнаружении[/B]"). Нажмите нажмите "[b]Start Scan[/b]" ("[B]Запуск проверки[/B]"). После сканирования нажмите [b]Export Log[/b], сохраните в формате txt и прикрепите его к следующему посту.
[B][COLOR="Red"]Самостоятельно ничего не удаляйте!!![/COLOR][/B]
Если лог не открылся, то найти его можно в следующей папке:
[CODE]%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs[/CODE] Файл требующегося лога имеет имя [U]mbam-log-[data] (time).txt[/U], например: [I]mbam-log-2014-04-09 (07-32-51).txt[/I]
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. [url=http://data.mbamupdates.com/tools/mbam-rules.exe]Загрузить обновление [B]MBAM[/B][/URL].
28.08.2014, 21:37
Valter

Из mbam не могу сделать экспорт вообще, copy to clipboard не работает, при попытке сохранить в txt mbam закрывается, не сохраняя файл.

По пути [COLOR=#555555]%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs ничего нет.[/COLOR]
28.08.2014, 22:14
regist

[quote="Valter;1153691"]Из mbam не могу сделать экспорт вообще, copy to clipboard не работает, при попытке сохранить в txt mbam закрывается, не сохраняя файл.

По пути %appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs ничего нет.[/quote]
а во время обновления баз от обновления программы вы отказались? У меня такое чувство, что вы обновились до второй версии. А там как раз подобные баги ;).

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

+ - Проведите [url=http://virusinfo.info/content.php?r=290-virus-detector][b]эту[/b][/url] процедуру. Полученную ссылку после загрузки карантина [b]virusinfo_auto_имя_вашего_ПК.zip[/b] через [url=http://virusinfo.info/virusdetector/uploadform.php][b]данную форму[/b][/url] напишите в своём в сообщении здесь.
29.08.2014, 15:34
Valter

[url]http://virusinfo.info/virusdetector/report.php?md5=12DB01CFC57C33D5ECAD9EC45FB7EC84[/url]
29.08.2014, 23:19
regist

лог MBAM ещё сделайте.
30.08.2014, 20:31
Valter

done
30.08.2014, 21:12
regist

[url=http://virusinfo.info/showthread.php?t=53070&p=493584&viewfull=1#post493584]Поместите в карантин МВАМ[/url] всё кроме

[CODE]Объекты реестра обнаружены: 4
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowHelp (PUM.Hijack.StartMenu) -> Плохо: (0) Хорошо: (1) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

C:\Documents and Settings\Admin\Мои документы\Dropbox\Public\WinRAR 4.20 Final.rar (RiskWare.Tool.CK) -> Действие не было предпринято.
[/CODE]

сделайте новый лог сканирования MBAM.
31.08.2014, 14:16
Valter

сделал
31.08.2014, 15:56
regist

[LIST=1][*]Скачайте [B][URL="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/URL][/B] (uVS)[*]Извлеките uVS из [I]архива[/I] или из [I]zip-папки[/I]. [*]Закройте все программы, [B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО.[*]Откройте папку с распакованной утилитой [B]uVS[/B] и запустите файл [B]start.exe[/B]. В открывшимся окне выберите пункт "[B]Запустить под текущим пользователем[/B]".[*]Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
[CODE];uVS v3.82 script [http://dsrt.dyndns.org]

adddir %SystemDrive%\Documents and Settings\Admin\Application Data\
crimg
[/CODE][*]В [B]uVS[/B] выберите пункт меню "[B]Скрипт[/B]" => "[B]Выполнить скрипт находящийся в буфере обмена...[/B]"[*]Нажмите на кнопку "[B]Выполнить[/B]" и дождитесь окончания работы программы.[*]После этого в папке с программой будет создан образ автозапуска название, которого имеет формат [B]"имя_компьютера_дата_сканирования"[/B]. Прикрепите этот образ к следующему сообщению[*][INDENT][SIZE="1"][B]!!! Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [B]Windows XP[/B] так и есть. В [B]Windows Vista[/B] и [B]Windows 7[/B] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [B]Запуск от имени Администратора[/B], при необходимости укажите пароль администратора и нажмите [B]"Да"[/B].[/SIZE][/INDENT][/LIST]
31.08.2014, 19:55
Valter

Образа автозапуска в папке нет, а вот архив имеется, только вот он не загружается на форум, кончилось место, удалить старые вложения не знаю как, об этом еще в первом посте написал :(
31.08.2014, 21:56
regist

[URL="http://virusinfo.info/showthread.php?t=130567"]Как удалить вложения?[/URL]

Если не поместится загрузите на [url]http://rghost.ru/[/url] и оставьте ссылку на скачивание.
31.08.2014, 22:35
Valter

поместился
01.09.2014, 01:34
mike 1

[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS:[/url]

[code]
;uVS v3.83 BETA 25 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
breg

addsgn 1A0A339A5583528CF42B627DA804DEC9E946303ADAAC943CA1DBCE7C25CEFA00070348131A45AE9BDC710F47CD526DF68A2E63A1BE9B3BE4A62B803B4C520663 8 BackDoor.IRC.NgrBot.146 [DrWeb]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\6B.EXE
bl 3E4C7BEE707A69FA0665E76B61B3A94D 412672
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\6B.EXE
addsgn 1A29599A5583528CF42B627DA80491E92957E8D261072E78852BC8BC50D6F2882FD44E031A5175E11A8084CDDDCF75DEF69BCC7E218BD6AD1153DB2DB303CA13 8 trojan

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\15.EXE
bl DC2CEDA7680C98F27D8AB9CFC952BFA7 358912
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\15.EXE
addsgn 1AB6349A5583528CF42B254E3143FE84C95AFEF6895B974EC1C3F679D9938DC5A6F73EA8C1DC1095D67F7B16D3CEB405825675A6A8254FA598A759D0388F9FBF 64 Trojan.Siggen.65341 [DrWeb]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\C731200
bl 5E11F39501BC972D8C253B78147A8598 378368
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\C731200
deltmp
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\F.EXE
chklst
delvir

restart
[/code]

Упакуйте содержимое папки ZOO с помощью WinRar, 7-Zip или WinZip в архив формата [B].ZIP[/B] с паролем [B]virus[/B] и отправьте этот файл по ссылке "[B]Прислать запрошенный карантин[/B]" над первым сообщением в теме.

Сделайте новый лог uVS.
01.09.2014, 09:48
Valter

Карантин прислал, лог сделал.
01.09.2014, 10:30
regist

[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS[/url] и пришлите карантин

[CODE];uVS v3.83 BETA 25 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

BREG
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\F.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\F.EXE
czoo
restart[/CODE]

сделайте новый лог полного сканирования MBAM
01.09.2014, 16:44
Valter

Карантин прислал, лог mbam прикладываю.
01.09.2014, 17:04
regist

[url=http://virusinfo.info/showthread.php?t=53070&p=493584&viewfull=1#post493584]Поместите в карантин МВАМ[/url] всё кроме

[CODE]Объекты реестра обнаружены: 4
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowHelp (PUM.Hijack.StartMenu) -> Плохо: (0) Хорошо: (1) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Мои документы\Dropbox\Public\WinRAR 4.20 Final.rar (RiskWare.Tool.CK) -> Действие не было предпринято.[/CODE]

сделайте новый лог сканирования MBAM.
01.09.2014, 17:41
Valter

сделал
01.09.2014, 21:33
regist

[LIST][*]Скачайте [B][URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B]) и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[R0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]

+ деинсталируйте установленную у вас версию MBAM.

Скачайте [url="http://data-cdn.mbamupdates.com/v0/program/data/mbam-setup-1.75.0.1300.exe"]Malwarebytes' Anti-Malware[/url]. Установите (во время установки откажитесь от использования [B]бесплатного тестового периода[/B]), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "[b]Custom Scan[/b]" ("[B]Пользовательское сканирование[/B]"), нажмите "[b]Scan Now[/b]" ("[B]Сканировать сейчас[/B]"), отметьте все диски. В выпадающих списках PUP и PUM выберите "[b]Warn user about detections[/b]" ("[B]Предупредить пользователя об обнаружении[/B]"). Нажмите нажмите "[b]Start Scan[/b]" ("[B]Запуск проверки[/B]"). После сканирования нажмите [b]Export Log[/b], сохраните в формате txt и прикрепите его к следующему посту.
[B][COLOR="Red"]Самостоятельно ничего не удаляйте!!![/COLOR][/B]
Если лог не открылся, то найти его можно в следующей папке:
[CODE]%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs[/CODE] Файл требующегося лога имеет имя [U]mbam-log-[data] (time).txt[/U], например: [I]mbam-log-2014-04-09 (07-32-51).txt[/I]
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. [url=http://data.mbamupdates.com/tools/mbam-rules.exe]Загрузить обновление [B]MBAM[/B][/URL].
01.09.2014, 23:26
Valter

сделано
01.09.2014, 23:53
regist

[LIST][*]Запустите повторно [COLOR="Blue"][B]AdwCleaner (by Xplode)[/B][/COLOR] (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B]), а по окончанию сканирования нажмите кнопку [B]"Clean"[/B] ([B]"Очистить"[/B]) и дождитесь окончания удаления.[*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[S0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению[/LIST]
[B]Внимание: [COLOR="Red"]Для успешного удаления нужна [U]перезагрузка компьютера[/U]!!![/COLOR][/B].

[CODE]C:\WINDOWS\system32\hidcon.exe[/CODE]

удалите вручную, что с проблемой?
02.09.2014, 01:36
Valter

прикрепил, файл удалил.

комп перестал тормозить давно, спасибо :)
02.09.2014, 10:49
regist

MBAM деинсталируйте.

Выполните скрипт в AVZ при наличии доступа в интернет:

[CODE]var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

[url=http://virusinfo.info/showthread.php?t=121902]Советы и рекомендации после лечения компьютера[/url]
02.09.2014, 10:59
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]44[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\admin\application data\identities\waaoak.exe - [B]Worm.Win32.Ngrbot.agzb[/B] ( BitDefender: Trojan.GenericKD.1826640 )[*] c:\documents and settings\admin\application data\update\msupdate.exe - [B]Backdoor.Win32.Androm.etvm[/B] ( BitDefender: Gen:Variant.Zusy.103841, AVAST4: Win32:Injector-BYR [Trj] )[*] c:\docume~1\admin\locals~1\temp\adobe\reader_sl.exe - [B]Worm.Win32.Ngrbot.agzn[/B] ( BitDefender: Trojan.GenericKD.1827008, AVAST4: Win32:Agent-AUCF [Trj] )[*] c:\docume~1\alluse~1\msbzz.exe - [B]Backdoor.Win32.Androm.euem[/B] ( BitDefender: Trojan.GenericKD.1826164 )[*] c:\program files\common files\creativeaudio\zthzjnxuc.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( BitDefender: Trojan.GenericKD.1824540, AVAST4: Win32:Malware-gen )[*] c:\recycler\s-1-5-21-0243556031-888888379-781862308-131084541\7a8845pq.exe - [B]Worm.Win32.Hamweq.prf[/B] ( BitDefender: Trojan.GenericKD.1826158, AVAST4: Win32:Malware-gen )[*] c:\recycler\s-1-5-21-0243556031-888888379-781862308-13108454\78845pq.exe - [B]Worm.Win32.Hamweq.prd[/B] ( BitDefender: Trojan.GenericKD.1824539 )[*] c:\recycler\s-1-5-21-0243556031-888888379-781862308-131091\7ab45pq.exe - [B]Worm.Win32.Hamweq.pre[/B] ( BitDefender: Trojan.GenericKD.1826161, AVAST4: Win32:Malware-gen )[*] \c731200._68b183ce06200aa4e26a9cfa5892d026d762a221 - [B]Worm.Win32.Ngrbot.agzn[/B] ( BitDefender: Trojan.GenericKD.1827008, AVAST4: Win32:Agent-AUCF [Trj] )[*] \f.exe._eb4b4ac163cbf82e447b22e7f0d72d7a9abb0ee2 - [B]Trojan.Win32.Yakes.ftgf[/B] ( BitDefender: Trojan.GenericKD.1826166, AVAST4: Win32:Trojan-gen )[*] \zoo\c731200._68b183ce06200aa4e26a9cfa5892d026d762a221 - [B]Worm.Win32.Ngrbot.agzn[/B] ( BitDefender: Trojan.GenericKD.1827008, AVAST4: Win32:Agent-AUCF [Trj] )[*] \zoo\f.exe._eb4b4ac163cbf82e447b22e7f0d72d7a9abb0ee2 - [B]Trojan.Win32.Yakes.ftgf[/B] ( BitDefender: Trojan.GenericKD.1826166, AVAST4: Win32:Trojan-gen )[*] \zoo\15.exe._eb4b4ac163cbf82e447b22e7f0d72d7a9abb0ee2 - [B]Trojan.Win32.Yakes.ftgf[/B] ( BitDefender: Trojan.GenericKD.1826166, AVAST4: Win32:Trojan-gen )[*] \zoo\6b.exe._38bb118239d4e049a90b39d25d98ef7f467e3800 - [B]HEUR:Trojan.Win32.Generic[/B] ( BitDefender: Trojan.GenericKD.1824540, AVAST4: Win32:Malware-gen )[*] \15.exe._eb4b4ac163cbf82e447b22e7f0d72d7a9abb0ee2 - [B]Trojan.Win32.Yakes.ftgf[/B] ( BitDefender: Trojan.GenericKD.1826166, AVAST4: Win32:Trojan-gen )[*] \6b.exe._38bb118239d4e049a90b39d25d98ef7f467e3800 - [B]HEUR:Trojan.Win32.Generic[/B] ( BitDefender: Trojan.GenericKD.1824540, AVAST4: Win32:Malware-gen )[/LIST][/LIST]