Здрасьте! notepad висит в процессах + в Application Data левые папки + &am p;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a

[dudegena]

доброго дня камрады!
в диспетчере в процессах висит блокнот
еще висел процесс с названием типа "tyosr"(и т.п. набор букв) но был убит с помощью ДрВеб кор айти
строки в автозагрузке пытался убрать с помощью Цклинера - безуспешно, т.к. появляются сразу же только с измененным именем
и в папке Application Data также удаление файла не срабатывает - через неск. секунд появляется вновь
следовательно ДрВеб вылечил Application Data только на время
восстановились зловреды после выключения\включения или перезагрузки я не отследил
и до кучи уже на паре флэшек файлы конвертнулись в ярлыки
буду благодарен за помощь и инструктаж по лечению
лог прилагаю

[Info_bot]

Уважаемый(ая) dudegena, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\documents and settings\all users\application data\{eaed821b-1803-0735-5047-946a3258950f}\47525284.exe', '');
 QuarantineFile('C:\Documents and Settings\ДиАр\Application Data\hruqfuxs\ugrughuf.exe', '');
 QuarantineFile('C:\Documents and Settings\ДиАр\Application Data\xxuaeuer\uxpuseuf.exe', '');
 QuarantineFile('Data\Skype\cssrss.exe', '');
 DeleteFile('c:\documents and settings\all users\application data\{eaed821b-1803-0735-5047-946a3258950f}\47525284.exe', '32');
 DeleteFile('C:\Documents and Settings\ДиАр\Application Data\hruqfuxs\ugrughuf.exe', '32');
 DeleteFile('C:\Documents and Settings\ДиАр\Application Data\xxuaeuer\uxpuseuf.exe', '32');
 DeleteFile('Data\Skype\cssrss.exe', '32');
 DeleteFileMask('c:\documents and settings\диар\application data\hruqfuxs', '*', true);
 DeleteFileMask('c:\documents and settings\диар\application data\xxuaeuer', '*', true);
 DeleteDirectory('c:\documents and settings\диар\application data\hruqfuxs');
 DeleteDirectory('c:\documents and settings\диар\application data\xxuaeuer');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'egstn');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\{76FDAA2B-3033-9B25-5047-946A3258950F}', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\evdti', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\fmald', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gkvoe', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mtpgn', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\nqspd', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\qocbx', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\tyosr', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\unfqg', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\xqait', 'command');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

[dudegena]

Добрй день! ))
Наконец то поkучилось добраться до бука!
Вроде все по инструкциям сделал:
карантин загружен
Файл сохранён как 171107_091127_quarantine_5a014e8f404d0.zip
Размер файла 257616
MD5 57fab0934d6920c8d5f151ff6bdec93b
====
кстати после скрипта AVZ в процессах "блокнота" не замечено, но какой то другой вылез(мини-скрин прикрепляю)
образ uVS также прикрепляю
Пасиба ;-)

[Vvvyg]

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):

Код:

;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v400c
deltmp
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\{EAED821B-1803-0735-5047-946A3258950F}\47525284.EXE
delref %SystemDrive%\DOCUME~1\C502~1\LOCALS~1\TEMP\AIDA64\KERNELD.X32
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
apply
restart

Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

[dudegena]

доброго времени суток
готовченко! =)
процессы тоже прикрепил
что скажете?

[Vvvyg]

Плохого не видно.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 10
• В ходе лечения вредоносные программы в карантинах не обнаружены