Вирус переименовывает exe файлы.

[pyrotechnik73]

Вирус переименовывает exe файлы на диске D:, добавляет в начало zw а сам подменяет оригинальный файл. Также создает ярлыки %windir%\system32\RunDll32.exe shell32.dll,ShellExec_RunDLL ".\*.exe". Еще создает на этом же диске папки типа антивирус.scr, не трогать!!!.scr и т.п. и файлы *.scr с именами папок. Avast находит и удаляет только следы деятельности exe файлы и папки. Что делать?

[olejah]

Сделайте лог Гмер

[pyrotechnik73]

Присылаю log.

[pyrotechnik73]

Что-то не вышло...

[olejah]

- Сохраните текст ниже как 1.bat в ту же папку, где находится zw5wz4g3rj.exe(GMER) и запустите этот батник(1.bat):

Код:

zw5wz4g3rj.exe -del service bnckoxg
zw5wz4g3rj.exe -del service kvwuqx
zw5wz4g3rj.exe -del service ogftunnlb
zw5wz4g3rj.exe -del service qkfzfxhjr
zw5wz4g3rj.exe -del file "C:\WINDOWS\system32\xbcek.dll"
zw5wz4g3rj.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\bnckoxg"
zw5wz4g3rj.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kvwuqx"
zw5wz4g3rj.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ogftunnlb"
zw5wz4g3rj.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\qkfzfxhjr"
zw5wz4g3rj.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\bnckoxg"
zw5wz4g3rj.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\kvwuqx"
zw5wz4g3rj.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ogftunnlb"
zw5wz4g3rj.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\qkfzfxhjr"
zw5wz4g3rj.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\bnckoxg"
zw5wz4g3rj.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\qkfzfxhjr"
zw5wz4g3rj.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\ogftunnlb"
zw5wz4g3rj.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\qkfzfxhjr"
zw5wz4g3rj.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\ogftunnlb"
zw5wz4g3rj.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\qkfzfxhjr"
zw5wz4g3rj.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\ogftunnlb"
zw5wz4g3rj.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\qkfzfxhjr"
zw5wz4g3rj.exe -reboot

Компьютер перезагрузится.

После перезагрузки:
- Сделайте повторные логи АВЗ
- Сделайте новый лог Gmer

[pyrotechnik73]

GMER несколько раз подвисал.

[olejah]

Сделайте лог полного сканирования МВАМ

[pyrotechnik73]

Log MBAM

[olejah]

Удалите в МВАМ -

Код:

Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\AppID\AutocompletePro.DLL (Adware.PredictAd) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RkHit (Rogue.SpywareCease) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0fb6a909-6086-458f-bd92-1f8ee10042a0} (Adware.PredictAd) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{0fb6a909-6086-458f-bd92-1f8ee10042a0} (Adware.PredictAd) -> No action taken.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers\c:\windows\cfdrive32.exe (Backdoor.Bot) -> No action taken.

Зараженные папки:
C:\Program Files\AutocompletePro (Adware.PredictAd) -> No action taken.
C:\Program Files\AutocompletePro\chrome (Adware.PredictAd) -> No action taken.
C:\Program Files\AutocompletePro\[email protected] (Adware.PredictAd) -> No action taken.
C:\Program Files\AutocompletePro\[email protected]\chrome (Adware.PredictAd) -> No action taken.
C:\Program Files\AutocompletePro\[email protected]\chrome\content (Adware.PredictAd) -> No action taken.
C:\Program Files\AutocompletePro\[email protected]\defaults (Adware.PredictAd) -> No action taken.
C:\Program Files\AutocompletePro\[email protected]\defaults\preferences (Adware.PredictAd) -> No action taken.


Зараженные файлы:
C:\Program Files\AutocompletePro\FireFoxExtension.exe (Adware.PredictAd) -> No action taken.
C:\Program Files\AutocompletePro\InstTracker.exe (Adware.PredictAd) -> No action taken.
C:\Program Files\AutocompletePro\unins000.dat (Adware.PredictAd) -> No action taken.
C:\Program Files\AutocompletePro\unins000.exe (Adware.PredictAd) -> No action taken.
C:\Program Files\AutocompletePro\chrome\autocompleteprochrome.crx (Adware.PredictAd) -> No action taken.
C:\Program Files\AutocompletePro\[email protected]\chrome.manifest (Adware.PredictAd) -> No action taken.
C:\Program Files\AutocompletePro\[email protected]\install.rdf (Adware.PredictAd) -> No action taken.
C:\Program Files\AutocompletePro\[email protected]\chrome\content\browserOverlay.xul (Adware.PredictAd) -> No action taken.
C:\Program Files\AutocompletePro\[email protected]\chrome\content\options.js (Adware.PredictAd) -> No action taken.
C:\Program Files\AutocompletePro\[email protected]\chrome\content\options.xul (Adware.PredictAd) -> No action taken.
C:\Program Files\AutocompletePro\[email protected]\chrome\content\utils.js (Adware.PredictAd) -> No action taken.
C:\Program Files\AutocompletePro\[email protected]\defaults\preferences\predictad.js (Adware.PredictAd) -> No action taken.

- Повторите лог МВАМ

[pyrotechnik73]

Лог MBAM

[olejah]

Удалите в МВАМ -

Код:

Зараженные файлы:
C:\WINDOWS\system32\inetsrv\iissync.exe (Virus.Expiro) -> No action taken.

- Больше плохого нет, что с проблемой?

[pyrotechnik73]

К сожалению не помогло. Так и плодятся zw*.exe

[thyrex]

Сделайте лог ComboFix

[pyrotechnik73]

Лог ComboFix.

[thyrex]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::

Driver::
qkfzfxhjr
kvwuqx
bnckoxg
ogftunnlb

NetSvc::
qkfzfxhjr
kvwuqx
bnckoxg
ogftunnlb

FCopy::
c:\windows\ServicePackFiles\i386\regsvc.dll|c:\windows\System32\regsvc.dll

Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6329:TCP"=-

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[pyrotechnik73]

ЛОГ

[thyrex]

Что с проблемой?

[pyrotechnik73]

Вроде все в порядке! Спасибо!!!

[thyrex]

Удалите ComboFix

[pyrotechnik73]

Все началось по-новой!!! Как защититься и как удалить?