Продолжая тему лечения. ноут+ флешка. Как мне рекомендовали ранее присылаю сначала информацию по ноуту. Снять галочку восстановление системы не удается. Доктор Веб нашел кучу вирусов троянов, но в АВЗ карантин пустой. Жду указаний к действию
Printable View
Продолжая тему лечения. ноут+ флешка. Как мне рекомендовали ранее присылаю сначала информацию по ноуту. Снять галочку восстановление системы не удается. Доктор Веб нашел кучу вирусов троянов, но в АВЗ карантин пустой. Жду указаний к действию
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\cadas.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ubjyxvrl.sys','');
DeleteService('ubjyxvrl');
QuarantineFile('C:\WINDOWS\System32\Drivers\bqjpqhak.sys','');
DeleteService('bqjpqhak');
QuarantineFile('C:\WINDOWS\system32\mukem.exe','');
DeleteService('h8aeajy90e7c');
DeleteFile('C:\WINDOWS\system32\mukem.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\bqjpqhak.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ubjyxvrl.sys');
DeleteFile('C:\WINDOWS\system32\cadas.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','zousussy');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
[B]Обновите базы AVZ[/B]
Сделайте новые логи
карантин сформировался на этот раз
Пофиксите в HiJack
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe[/CODE]
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('F:\TOPILA\miaborisavljevic.exe','');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('C:\Documents and Settings\EUM\DoctorWeb\Quarantine\juzjf__9.exe','');
QuarantineFile('C:\Documents and Settings\EUM\DoctorWeb\Quarantine\juzjf__8.exe','');
QuarantineFile('C:\Documents and Settings\EUM\DoctorWeb\Quarantine\juzjf__7.exe','');
QuarantineFile('C:\Documents and Settings\EUM\DoctorWeb\Quarantine\juzjf__6.exe','');
QuarantineFile('C:\Documents and Settings\EUM\DoctorWeb\Quarantine\juzjf__5.exe','');
QuarantineFile('C:\Documents and Settings\EUM\DoctorWeb\Quarantine\juzjf__4.exe','');
QuarantineFile('C:\Documents and Settings\EUM\DoctorWeb\Quarantine\juzjf__3.exe','');
QuarantineFile('C:\Documents and Settings\EUM\DoctorWeb\Quarantine\juzjf__2.exe','');
QuarantineFile('C:\Documents and Settings\EUM\DoctorWeb\Quarantine\juzjf__1.exe','');
QuarantineFile('C:\Documents and Settings\EUM\DoctorWeb\Quarantine\juzjf__0.exe','');
QuarantineFile('C:\Documents and Settings\EUM\DoctorWeb\Quarantine\juzjf_89.exe','');
QuarantineFile('C:\Documents and Settings\EUM\DoctorWeb\Quarantine\juzjf_79.exe','');
QuarantineFile('C:\Documents and Settings\EUM\DoctorWeb\Quarantine\juzjf_69.exe','');
QuarantineFile('C:\Documents and Settings\EUM\DoctorWeb\Quarantine\juzjf_59.exe','');
QuarantineFile('C:\Documents and Settings\EUM\DoctorWeb\Quarantine\juzjf_49.exe','');
QuarantineFile('C:\Documents and Settings\EUM\DoctorWeb\Quarantine\juzjf_39.exe','');
QuarantineFile('C:\Documents and Settings\EUM\DoctorWeb\Quarantine\juzjf_29.exe','');
QuarantineFile('C:\Documents and Settings\EUM\DoctorWeb\Quarantine\juzjf_19.exe','');
QuarantineFile('C:\Documents and Settings\EUM\DoctorWeb\Quarantine\juzjf_09.exe','');
QuarantineFile('C:\Documents and Settings\EUM\DoctorWeb\Quarantine\juzjf.exe','');
QuarantineFile('C:\Documents and Settings\EUM\DoctorWeb\Quarantine\615.exe','');
DeleteFile('C:\Documents and Settings\EUM\DoctorWeb\Quarantine\615.exe');
DeleteFile('C:\Documents and Settings\EUM\DoctorWeb\Quarantine\juzjf.exe');
DeleteFile('C:\Documents and Settings\EUM\DoctorWeb\Quarantine\juzjf_09.exe');
DeleteFile('C:\Documents and Settings\EUM\DoctorWeb\Quarantine\juzjf_19.exe');
DeleteFile('C:\Documents and Settings\EUM\DoctorWeb\Quarantine\juzjf_29.exe');
DeleteFile('C:\Documents and Settings\EUM\DoctorWeb\Quarantine\juzjf_39.exe');
DeleteFile('C:\Documents and Settings\EUM\DoctorWeb\Quarantine\juzjf_49.exe');
DeleteFile('C:\Documents and Settings\EUM\DoctorWeb\Quarantine\juzjf_59.exe');
DeleteFile('C:\Documents and Settings\EUM\DoctorWeb\Quarantine\juzjf_69.exe');
DeleteFile('C:\Documents and Settings\EUM\DoctorWeb\Quarantine\juzjf_79.exe');
DeleteFile('C:\Documents and Settings\EUM\DoctorWeb\Quarantine\juzjf_89.exe');
DeleteFile('C:\Documents and Settings\EUM\DoctorWeb\Quarantine\juzjf__0.exe');
DeleteFile('C:\Documents and Settings\EUM\DoctorWeb\Quarantine\juzjf__1.exe');
DeleteFile('C:\Documents and Settings\EUM\DoctorWeb\Quarantine\juzjf__2.exe');
DeleteFile('C:\Documents and Settings\EUM\DoctorWeb\Quarantine\juzjf__3.exe');
DeleteFile('C:\Documents and Settings\EUM\DoctorWeb\Quarantine\juzjf__4.exe');
DeleteFile('C:\Documents and Settings\EUM\DoctorWeb\Quarantine\juzjf__5.exe');
DeleteFile('C:\Documents and Settings\EUM\DoctorWeb\Quarantine\juzjf__6.exe');
DeleteFile('C:\Documents and Settings\EUM\DoctorWeb\Quarantine\juzjf__7.exe');
DeleteFile('C:\Documents and Settings\EUM\DoctorWeb\Quarantine\juzjf__8.exe');
DeleteFile('C:\Documents and Settings\EUM\DoctorWeb\Quarantine\juzjf__9.exe');
DeleteFile('F:\autorun.inf');
DeleteFile('F:\TOPILA\miaborisavljevic.exe');
DeleteFileMask('F:\TOPILA', '*.*', true);
DeleteDirectory('F:\TOPILA');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Выполните [URL="http://virusnet.info/forum/showthread.php?t=9188"]скрипт[/URL]
Сделайте новые логи
Все выполнелось
Фиксили в HiJack ? Что с проблемой?
На ноуте вроде все хорошо. подключать флешку и проводить такие же действия?
Если диск F - это не флешка, тогда да
Ноут отключен от сети, все через чистую флешку. сейчас диск F это зараженная флешка. Карантин пустой
F:\autorun.inf - это уже Ваш файл?
Похоже что мой.
Проблема решена?
Нет, проблема не решена. На флешке все папки не видимы а вместо них ярлыки. Большая просьба помочь спасти информацию и вылечиться от вирусов
В Total Commander или другом файловом менеджере папки видны?
если отметить, показывать скрытые файлы, то там их видно. но не все читается
А изменить атрибуты (меню Файл) не пробовали?
Недоступно снять галочку, "скрытые файлы". есть папка в которой находятся экзешники с названиями скрытых папок, но эта папка тоже скрытая
Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
Не забудьте отметить диск F
Отправляю сформированный лог
[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url][code]Заражённые файлы:
c:\documents and settings\EUM\application data\juzjf.#xe (Trojan.Downloader) -> No action taken.
c:\documents and settings\EUM\doctorweb\quarantine\icqlife[1].exe (Worm.Palevo) -> No action taken.
c:\documents and settings\EUM\doctorweb\quarantine\0495264.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\EUM\doctorweb\quarantine\1[1].exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\EUM\doctorweb\quarantine\2379621.exe (Worm.Palevo) -> No action taken.
c:\documents and settings\EUM\doctorweb\quarantine\302601.exe (Spyware.OnLineGames) -> No action taken.
c:\documents and settings\EUM\doctorweb\quarantine\43703.exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\EUM\doctorweb\quarantine\496204.exe (Worm.Palevo) -> No action taken.
c:\documents and settings\EUM\doctorweb\quarantine\69427.exe (Spyware.OnLineGames) -> No action taken.
c:\documents and settings\EUM\doctorweb\quarantine\7731083.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\EUM\doctorweb\quarantine\cadas.exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\EUM\doctorweb\quarantine\ces[1].exe (Backdoor.Cetorp) -> No action taken.
c:\documents and settings\EUM\doctorweb\quarantine\DKC.exe (Spyware.OnLineGames) -> No action taken.
c:\documents and settings\EUM\doctorweb\quarantine\eum.exe (Spyware.OnLineGames) -> No action taken.
c:\documents and settings\EUM\doctorweb\quarantine\gcf6dj7ge6.log (Extension.Mismatch) -> No action taken.
c:\documents and settings\EUM\doctorweb\quarantine\Hyundai.exe (Spyware.OnLineGames) -> No action taken.
c:\documents and settings\EUM\doctorweb\quarantine\iek.exe (Spyware.OnLineGames) -> No action taken.
c:\documents and settings\EUM\doctorweb\quarantine\mukem.exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\EUM\doctorweb\quarantine\nik.exe (Spyware.OnLineGames) -> No action taken.
c:\documents and settings\EUM\doctorweb\quarantine\QIP.exe (Spyware.OnLineGames) -> No action taken.
c:\documents and settings\EUM\doctorweb\quarantine\temp iek.exe (Spyware.OnLineGames) -> No action taken.
c:\documents and settings\EUM\doctorweb\quarantine\vv3[1].exe (Spyware.OnLineGames) -> No action taken.
c:\documents and settings\EUM\doctorweb\quarantine\yv8g67.exe (Worm.Palevo) -> No action taken.
c:\documents and settings\EUM\doctorweb\quarantine\yv8g67_0.exe (Worm.Palevo) -> No action taken.
c:\documents and settings\EUM\doctorweb\quarantine\yv8g67_1.exe (Worm.Palevo) -> No action taken.
c:\documents and settings\EUM\doctorweb\quarantine\yv8g67_2.exe (Worm.Palevo) -> No action taken.
c:\documents and settings\EUM\doctorweb\quarantine\yv8g67_3.exe (Worm.Palevo) -> No action taken.
c:\documents and settings\EUM\doctorweb\quarantine\yv8g67_4.exe (Worm.Palevo) -> No action taken.
c:\documents and settings\EUM\doctorweb\quarantine\yv8g67_5.exe (Worm.Palevo) -> No action taken.
c:\documents and settings\EUM\doctorweb\quarantine\yv8g67_6.exe (Worm.Palevo) -> No action taken.
c:\documents and settings\EUM\doctorweb\quarantine\газтех.exe (Spyware.OnLineGames) -> No action taken.
c:\documents and settings\EUM\doctorweb\quarantine\жек.exe (Spyware.OnLineGames) -> No action taken.
c:\documents and settings\EUM\doctorweb\quarantine\книга.exe (Spyware.OnLineGames) -> No action taken.
c:\documents and settings\EUM\doctorweb\quarantine\машина.exe (Spyware.OnLineGames) -> No action taken.
c:\documents and settings\EUM\doctorweb\quarantine\отправка.exe (Spyware.OnLineGames) -> No action taken.
c:\documents and settings\EUM\doctorweb\quarantine\поиск.exe (Spyware.OnLineGames) -> No action taken.
c:\documents and settings\EUM\doctorweb\quarantine\регістрація.exe (Spyware.OnLineGames) -> No action taken.
c:\documents and settings\администратор\application data\juzjf.#xe (Trojan.Downloader) -> No action taken.
c:\documents and settings\администратор.samlab.000\application data\juzjf.#xe (Trojan.Downloader) -> No action taken.
c:\documents and settings\администратор.samlab.001\application data\juzjf.#xe (Trojan.Downloader) -> No action taken.
c:\RECYCLER\s-1-5-21-3735159817-6115927265-242955336-1322\yv8g67.#xe (Worm.Palevo) -> No action taken.
f:\38501921\DKC.exe (Spyware.OnLineGames) -> No action taken.
f:\38501921\Hyundai.exe (Spyware.OnLineGames) -> No action taken.
f:\38501921\iek.exe (Spyware.OnLineGames) -> No action taken.
f:\38501921\nik.exe (Spyware.OnLineGames) -> No action taken.
f:\38501921\QIP.exe (Spyware.OnLineGames) -> No action taken.
f:\38501921\жек.exe (Spyware.OnLineGames) -> No action taken.
f:\38501921\машина.exe (Spyware.OnLineGames) -> No action taken.
f:\38501921\поиск.exe (Spyware.OnLineGames) -> No action taken.
f:\38501921\регістрація.exe (Spyware.OnLineGames) -> No action taken.
f:\38501921\eum.exe (Spyware.OnLineGames) -> No action taken.
f:\38501921\книга.exe (Spyware.OnLineGames) -> No action taken.
f:\38501921\отправка.exe (Spyware.OnLineGames) -> No action taken.
f:\38501921\газтех.exe (Spyware.OnLineGames) -> No action taken.
f:\38501921\temp iek.exe (Spyware.OnLineGames) -> No action taken.
c:\documents and settings\EUM\application data\BG0Ai.txt (Malware.Trace) -> No action taken.
c:\documents and settings\all users\application data\common.data (Malware.Trace) -> No action taken.[/code]Что с проблемой?
Выполнил все рекомендации. Но статус папок изменить не могу.
- Сделайте повторный лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]
последний лог
В Total Commander сделайте
Файлы - Изменить атрибуты
Благодарю за оказанную помощь
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]71[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\eum\\doctorweb\\quarantine\\juzjf.exe - [B]Trojan-Downloader.Win32.FraudLoad.xxmy[/B] ( DrWEB: Trojan.Packed.21552, BitDefender: Trojan.Generic.KDV.55223, AVAST4: Win32:Tedroo-D [Trj] )[*] c:\\documents and settings\\eum\\doctorweb\\quarantine\\juzjf__0.exe - [B]Trojan-Downloader.Win32.FraudLoad.xxmy[/B] ( DrWEB: Trojan.Packed.21552, BitDefender: Trojan.Generic.KDV.55223, AVAST4: Win32:Tedroo-D [Trj] )[*] c:\\documents and settings\\eum\\doctorweb\\quarantine\\juzjf_09.exe - [B]Trojan-Downloader.Win32.FraudLoad.xxmy[/B] ( DrWEB: Trojan.Packed.21552, BitDefender: Trojan.Generic.KDV.55223, AVAST4: Win32:Tedroo-D [Trj] )[*] c:\\documents and settings\\eum\\doctorweb\\quarantine\\juzjf__1.exe - [B]Trojan-Downloader.Win32.FraudLoad.xxmy[/B] ( DrWEB: Trojan.Packed.21552, BitDefender: Trojan.Generic.KDV.55223, AVAST4: Win32:Tedroo-D [Trj] )[*] c:\\documents and settings\\eum\\doctorweb\\quarantine\\juzjf_19.exe - [B]Trojan-Downloader.Win32.FraudLoad.xxmy[/B] ( DrWEB: Trojan.Packed.21552, BitDefender: Trojan.Generic.KDV.55223, AVAST4: Win32:Tedroo-D [Trj] )[*] c:\\documents and settings\\eum\\doctorweb\\quarantine\\juzjf__2.exe - [B]Trojan-Downloader.Win32.FraudLoad.xxmy[/B] ( DrWEB: Trojan.Packed.21552, BitDefender: Trojan.Generic.KDV.55223, AVAST4: Win32:Tedroo-D [Trj] )[*] c:\\documents and settings\\eum\\doctorweb\\quarantine\\juzjf_29.exe - [B]Trojan-Downloader.Win32.FraudLoad.xxmy[/B] ( DrWEB: Trojan.Packed.21552, BitDefender: Trojan.Generic.KDV.55223, AVAST4: Win32:Tedroo-D [Trj] )[*] c:\\documents and settings\\eum\\doctorweb\\quarantine\\juzjf__3.exe - [B]Trojan-Downloader.Win32.FraudLoad.xxmy[/B] ( DrWEB: Trojan.Packed.21552, BitDefender: Trojan.Generic.KDV.55223, AVAST4: Win32:Tedroo-D [Trj] )[*] c:\\documents and settings\\eum\\doctorweb\\quarantine\\juzjf_39.exe - [B]Trojan-Downloader.Win32.FraudLoad.xxmy[/B] ( DrWEB: Trojan.Packed.21552, BitDefender: Trojan.Generic.KDV.55223, AVAST4: Win32:Tedroo-D [Trj] )[*] c:\\documents and settings\\eum\\doctorweb\\quarantine\\juzjf__4.exe - [B]Trojan-Downloader.Win32.FraudLoad.xxmy[/B] ( DrWEB: Trojan.Packed.21552, BitDefender: Trojan.Generic.KDV.55223, AVAST4: Win32:Tedroo-D [Trj] )[*] c:\\documents and settings\\eum\\doctorweb\\quarantine\\juzjf_49.exe - [B]Trojan-Downloader.Win32.FraudLoad.xxmy[/B] ( DrWEB: Trojan.Packed.21552, BitDefender: Trojan.Generic.KDV.55223, AVAST4: Win32:Tedroo-D [Trj] )[*] c:\\documents and settings\\eum\\doctorweb\\quarantine\\juzjf__5.exe - [B]Trojan-Downloader.Win32.FraudLoad.xxmy[/B] ( DrWEB: Trojan.Packed.21552, BitDefender: Trojan.Generic.KDV.55223, AVAST4: Win32:Tedroo-D [Trj] )[*] c:\\documents and settings\\eum\\doctorweb\\quarantine\\juzjf_59.exe - [B]Trojan-Downloader.Win32.FraudLoad.xxmy[/B] ( DrWEB: Trojan.Packed.21552, BitDefender: Trojan.Generic.KDV.55223, AVAST4: Win32:Tedroo-D [Trj] )[*] c:\\documents and settings\\eum\\doctorweb\\quarantine\\juzjf__6.exe - [B]Trojan-Downloader.Win32.FraudLoad.xxmy[/B] ( DrWEB: Trojan.Packed.21552, BitDefender: Trojan.Generic.KDV.55223, AVAST4: Win32:Tedroo-D [Trj] )[*] c:\\documents and settings\\eum\\doctorweb\\quarantine\\juzjf_69.exe - [B]Trojan-Downloader.Win32.FraudLoad.xxmy[/B] ( DrWEB: Trojan.Packed.21552, BitDefender: Trojan.Generic.KDV.55223, AVAST4: Win32:Tedroo-D [Trj] )[*] c:\\documents and settings\\eum\\doctorweb\\quarantine\\juzjf__7.exe - [B]Trojan-Downloader.Win32.FraudLoad.xxmy[/B] ( DrWEB: Trojan.Packed.21552, BitDefender: Trojan.Generic.KDV.55223, AVAST4: Win32:Tedroo-D [Trj] )[*] c:\\documents and settings\\eum\\doctorweb\\quarantine\\juzjf_79.exe - [B]Trojan-Downloader.Win32.FraudLoad.xxmy[/B] ( DrWEB: Trojan.Packed.21552, BitDefender: Trojan.Generic.KDV.55223, AVAST4: Win32:Tedroo-D [Trj] )[*] c:\\documents and settings\\eum\\doctorweb\\quarantine\\juzjf__8.exe - [B]Trojan-Downloader.Win32.FraudLoad.xxmy[/B] ( DrWEB: Trojan.Packed.21552, BitDefender: Trojan.Generic.KDV.55223, AVAST4: Win32:Tedroo-D [Trj] )[*] c:\\documents and settings\\eum\\doctorweb\\quarantine\\juzjf_89.exe - [B]Trojan-Downloader.Win32.FraudLoad.xxmy[/B] ( DrWEB: Trojan.Packed.21552, BitDefender: Trojan.Generic.KDV.55223, AVAST4: Win32:Tedroo-D [Trj] )[*] c:\\documents and settings\\eum\\doctorweb\\quarantine\\juzjf__9.exe - [B]Trojan-Downloader.Win32.FraudLoad.xxmy[/B] ( DrWEB: Trojan.Packed.21552, BitDefender: Trojan.Generic.KDV.55223, AVAST4: Win32:Tedroo-D [Trj] )[*] c:\\documents and settings\\eum\\doctorweb\\quarantine\\615.exe - [B]Trojan-Downloader.Win32.FraudLoad.xxmy[/B] ( DrWEB: Trojan.Packed.21552, BitDefender: Trojan.Generic.KDV.55223, AVAST4: Win32:Tedroo-D [Trj] )[*] f:\\autorun.inf - [B]Worm.Win32.AutoRun.bshh[/B] ( BitDefender: Trojan.Script.474324, NOD32: Win32/Bflient.K worm, AVAST4: INF:AutoRun-BJ [Wrm] )[*] f:\\topila\\miaborisavljevic.exe - [B]P2P-Worm.Win32.Palevo.bkkx[/B] ( DrWEB: Trojan.Packed.21241, BitDefender: Gen:Variant.Kazy.3490, AVAST4: Win32:Morphex [Cryp] )[/LIST][/LIST]