Пользуюсь антивирусом доктор Веб, он находит эту дрянь, удаляет, а при перезагрузке она появляется вновь. Тут же появляется сообщение Generic Host Process for Win32 Services - обнаружена ошибка. Помогите пожалуйста.
Не могу избавиться от Backdoor.IRC.Itan
Пользуюсь антивирусом доктор Веб, он находит эту дрянь, удаляет, а при перезагрузке она появляется вновь. Тут же появляется сообщение Generic Host Process for Win32 Services - обнаружена ошибка. Помогите пожалуйста.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Правила изучила. Перезагрузилась в безопасном режиме, но тут возник вопрос от какого: администратора или пользователя? Я мало понимаю в компьютерах, поэтому заранее извиняюсь за глупый вопрос.
Пока только в безопасном режиме пользователя!
Последний раз редактировалось Rene-gad; 03.11.2009 в 20:11. Причина: ответил на вопрос публики :)
Вот логи
Также у меня появился virusinfo_cure.zip, нужно ли загрузить его?
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelCLSID('{40WcIYQZ-GGZQ-irKu-D8Su-1V7jUbe5yruL}'); QuarantineFile('c:\Temp\Rar$EX00.922\SUR.exe',''); DelBHO('{CF272101-7F6E-4CF2-9453-B4C5D2FC32C0}'); QuarantineFile('C:\PROGRA~1\FieryAds\FieryAds.dll',''); QuarantineFile('C:\WINDOWS\Sf3TJ.exe',''); TerminateProcessByName('c:\windows\system32\msdrvinf.exe'); QuarantineFile('c:\windows\system32\msdrvinf.exe',''); DeleteFile('c:\windows\system32\msdrvinf.exe'); DeleteFile('C:\WINDOWS\Sf3TJ.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mx76SJBAbE1Qpw'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','pldELx9gvdHT9M82'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','pldELx9gvdHT9M82'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windows System Info Serivce'); DeleteFile('C:\PROGRA~1\FieryAds\FieryAds.dll'); DeleteFile('c:\Temp\Rar$EX00.922\SUR.exe'); DeleteFileMask('C:\PROGRA~1\FieryAds', '*.*', true); DeleteDirectory('C:\PROGRA~1\FieryAds'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Вот новые логи
Карантин тоже послала. Все ли пришло?
теперь у меня комп отказывается зайти на Ваш сайт. что делать?
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
После выполнения скрипта компьютер перезагрузитсяКод:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('c:\Temp\Rar$EX00.922\SUR.exe'); DeleteFileMask('c:\Temp','*.*',true); DeleteDirectory('c:\Temp'); DelCLSID('SUR'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Лог GMER сделан неверно, переделайте http://virusinfo.info/showthread.php?t=40118
и новые логи AVZ
Я по-прежнему не могу зайти на ваш сайт с зараженного копма. Поэтому логи я прислать не могу. Скрипт сделала. Что мне делать?
Вы же как-то ответили... Перенесите логи на съемном носителе
Выхожу с телефона, поэтому не могу никуда перенести
Без логов мы не можем увидеть что творится в Вашей системе. также необходим лог GMER, прикрепленный выше сделан неверно
Выполните проверку при помощи Virus Removal Tool (ссылка в моей подписи)
Хорошо. Логи появятся в понедельник, когда пойду учиться.
У меня кстати с зараженного компа не только на ваш сайт зайти не может, но и на касперский, доктор веб.
Проверяю комп, уже удалила net-worm.win32.kido.ih
Последний раз редактировалось Rubi; 06.11.2009 в 13:44.
Все сделала. На сайт теперь с зараженного компа заходить могу.
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
После выполнения скрипта компьютер перезагрузится.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(true); TerminateProcessByName('c:\windows\explorer.exe:userini.exe'); TerminateProcessByName('c:\windows\system32\userini.exe'); TerminateProcessByName('c:\windows\mslsrv32.exe'); TerminateProcessByName('c:\windows\services.exe'); QuarantineFile('c:\windows\explorer.exe:userini.exe',''); QuarantineFile('c:\Temp\Rar$EX00.922\SUR.exe',''); QuarantineFile('C:\WINDOWS\system32\userini.exe',''); QuarantineFile('C:\WINDOWS\services.exe',''); QuarantineFile('C:\WINDOWS\mslsrv32.exe',''); QuarantineFile('C:\WINDOWS\explorer.exe:userini.exe',''); DeleteFile('C:\WINDOWS\explorer.exe:userini.exe'); DeleteFile('C:\WINDOWS\mslsrv32.exe'); DeleteFile('C:\WINDOWS\services.exe'); DeleteFile('C:\WINDOWS\system32\userini.exe'); DeleteFile('c:\Temp\Rar$EX00.922\SUR.exe'); DeleteFile('c:\windows\explorer.exe:userini.exe'); DeleteFileMask('c:\Temp','*.*',true); DeleteDirectory('c:\Temp'); DelCLSID('SUR'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','services'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini'); BC_ImportALL; ExecuteSysClean; RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); BC_Activate; RebootWindows(true); end.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенный карантин" над первым сообщением темы)
Затем:
Сохраните текст ниже как cleanup.bat в ту же папку, где находится eqguftmo.exe (gmer)
И запустите cleanup.bat.Код:eqguftmo.exe -del service agqaqgxrz eqguftmo.exe -del service fxxuzxaak eqguftmo.exe -del service kqwchsnz eqguftmo.exe -del service mntsuvwhi eqguftmo.exe -del file "C:\WINDOWS\system32\orphojun.dll" eqguftmo.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\agqaqgxrz" eqguftmo.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\fxxuzxaak" eqguftmo.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kqwchsnz" eqguftmo.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\mntsuvwhi" eqguftmo.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\agqaqgxrz" eqguftmo.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\fxxuzxaak" eqguftmo.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\kqwchsnz" eqguftmo.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\mntsuvwhi" eqguftmo.exe -reboot
Компьютер перезагрузится
Сделайте новый лог gmer и новые логи AVZ
Карантин прислала.
Когда делала cleanup.bat не удалось найти указанный модуль по C:\WINDOWS\system32\orphojun.dll и Delete key
Новые логи в процессе
Ничего страшного. Выкладывайте логиКогда делала cleanup.bat не удалось найти указанный модуль по C:\WINDOWS\system32\orphojun.dll и Delete key
Карантин получен
Вот новые логи
Запустите AVZ, выберите меню сервис - менеджер Active Setup
Удалите оттуда:
Перезагрузите ПК, сделайте новый лог virusinfo_syscheck.zipКод:c:\Temp\Rar$EX00.922\SUR.exe
Уважаемый(ая) Rubi, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
