не грузится Безопасный режим и снова проявились вирусы cfdrive32 и др.

Printable View

20.10.2010, 16:38
Саламан

не грузится Безопасный режим и снова проявились вирусы cfdrive32 и др.

комп ведет себя странн( и еще при загрузке автоматически грузится папка мои документы. Логи прилагаются.
20.10.2010, 16:39
Саламан

антивирь

прошу сообщить. Ставил после лечения антивирь Авира. После его установки и проверки системы начились сбои? Это как то связано и стоит ли его ставить снова?
20.10.2010, 16:48
Саламан

лог

еще один лог авз
20.10.2010, 21:30
Саламан

запуск виндовс

безопасный режим загрузился после восстановления с помощью авз

[size="1"][color="#666686"][B][I]Добавлено через 3 часа 59 минут[/I][/B][/color][/size]

сообщите пожалуйста - это лечению поддается или придется систему переустанавливать?
21.10.2010, 00:10
Никита Соловьев

Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\cfdrive32.exe');
QuarantineFile('%SYSTEM32%\??.EXE','');
QuarantineFile('C:\WINDOWS\system32\35.exe','');
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
QuarantineFile('C:\WINDOWS\cfdrive32.exe','');
QuarantineFile('C:\Documents and Settings\user\Application Data\oekx.exe','');
DeleteFile('C:\Documents and Settings\user\Application Data\oekx.exe');
DeleteFile('C:\WINDOWS\cfdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs');
DeleteFile('C:\WINDOWS\system32\35.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(9);
ExecuteWizard('TSW',2,2,true);
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.

Файл [B]quarantine.zip[/B] загрузите по ссылке [B][U][COLOR="Red"]прислать запрошенный карантин[/COLOR][/U][/B].

Сделайте новые логи + Скачайте [url=http://images.malwareremoval.com/random/RSIT.exe]RSIT[/url]. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке ([b]RSIT[/b]) в корне системного диска.
21.10.2010, 06:54
Саламан

по лечению

выполнять скрипты надо в обычном или безопасном режимах?
21.10.2010, 08:55
Саламан

логи

еще какой то странный процесс psysnew???
21.10.2010, 09:44
Саламан

еще небольшие проблемы

как избавиться от автоматической загрузки при старте папки Мои документы и стоит ли устанавливать антивирусом Авиру или выбрать другой антивирус?
21.10.2010, 14:18
PavelA

Пришлите через карантин:
C:\WINDOWS\system32\wmpkv3.exe
C:\WINDOWS\system32\wmpxr3.exe
21.10.2010, 14:45
Саламан

отправка

запрошенные вами файлы отправлены через карантин
21.10.2010, 15:00
Shu_b

[QUOTE=Саламан;722856]запрошенные вами файлы отправлены через карантин[/QUOTE]

отправлять желательно запароленным архивом (как написано в правилах).
21.10.2010, 15:15
Саламан

по поводу отсылки

переслать?
21.10.2010, 15:27
PavelA

Выполните:
[CODE]begin
QuarantineFile('C:\WINDOWS\system32\wmpkv3.exe','');
QuarantineFile('C:\WINDOWS\system32\wmpxr3.exe','');
RebootWindows(true);
end.[/CODE]
пришлите карантин AVZ
22.10.2010, 08:39
Саламан

лечение

что с лечением?

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

и как убрать автозагрузку Мои документы при старте?
22.10.2010, 09:17
Саламан

логи mbam

выложу на всякий случай лог, может ускорит процесс исцеления!
22.10.2010, 16:38
Саламан

Что скажите? какие действия предпринимать???

[size="1"][color="#666686"][B][I]Добавлено через 2 часа 23 минуты[/I][/B][/color][/size]

давайте удалим вредные процессы? только напишите какие, чтобы лишнего не удалил. в общем ваша помощь необходима

[size="1"][color="#666686"][B][I]Добавлено через 2 часа 15 минут[/I][/B][/color][/size]

процесс продолжиться или все? уже второй день пошел как тишина(
22.10.2010, 17:11
Никита Соловьев

Удалите всё, что нашёл МВАМ. Сделайте новый комплект логов
22.10.2010, 17:55
Саламан

логи

сделано. MBAM если нужен сделать смогу в понедельник
22.10.2010, 22:37
thyrex

[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url]
[CODE]Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\conime.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.

Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\psysnew (Worm.Autorun.B) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell (Worm.AutoRun) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Trojan.Agent) -> No action taken.

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe,Explorer.exe) Good: (Explorer.exe) -> No action taken.
Зараженные папки:
C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455 (Worm.AutoRun) -> No action taken.

Зараженные файлы:
C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe (Worm.Autorun.B) -> No action taken.
C:\Documents and Settings\user\Local Settings\Temp\202215.exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\user\Local Settings\Temp\7813.exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\user\Local Settings\Temp\8072818.exe (Trojan.Dropper) -> No action taken.
C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\Desktop.ini (Worm.AutoRun) -> No action taken.[/CODE]
25.10.2010, 09:02
Саламан

логи

Удалил зараженные объекты в MBAM.
После еще раз просканировал - зараженных объектов 0.
25.10.2010, 09:19
polword

что с проблемой?
10.11.2010, 13:14
Саламан

исцелено

проблемные файлы удалены. исцелено
11.11.2010, 13:14
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\user\\application data\\oekx.exe - [B]Trojan.Win32.Pincav.ajdq[/B] ( DrWEB: Win32.HLLW.Lime.685, BitDefender: Trojan.Generic.KDV.53648, AVAST4: Win32:MalOb-IE [Cryp] )[*] c:\\windows\\cfdrive32.exe - [B]Net-Worm.Win32.Kolab.maa[/B] ( DrWEB: Trojan.AVKill.2800, BitDefender: Trojan.Generic.5032117, AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\wmpkv3.exe - [B]Net-Worm.Win32.Kolab.mbb[/B] ( DrWEB: BackDoor.IRC.Bot.689, BitDefender: MemScan:Worm.Generic.303614, AVAST4: Win32:Kryptik-XM [Trj] )[*] c:\\windows\\system32\\wmpxr3.exe - [B]Net-Worm.Win32.Kolab.mbc[/B] ( DrWEB: BackDoor.IRC.Bot.690, BitDefender: DeepScan:Generic.Sdbot.4644FECD, NOD32: Win32/AutoRun.IRCBot.FE worm, AVAST4: Win32:Kryptik-XM [Trj] )[*] c:\\windows\\system32\\35.exe - [B]P2P-Worm.Win32.Palevo.axpl[/B] ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Generic.KDV.54562, AVAST4: Win32:MalOb-IE [Cryp] )[*] \\wmpkv3.exe - [B]Net-Worm.Win32.Kolab.mbb[/B] ( DrWEB: BackDoor.IRC.Bot.689, BitDefender: MemScan:Worm.Generic.303614, AVAST4: Win32:Kryptik-XM [Trj] )[*] \\wmpxr3.exe - [B]Net-Worm.Win32.Kolab.mbc[/B] ( DrWEB: BackDoor.IRC.Bot.690, BitDefender: DeepScan:Generic.Sdbot.4644FECD, NOD32: Win32/AutoRun.IRCBot.FE worm, AVAST4: Win32:Kryptik-XM [Trj] )[/LIST][/LIST]