Одолели вирусы
Установлен аваст фри 6
Аутпост 6,5 почему то после нескольких дней работы исчезает.
В корне диска С вислел xdx.exe, после чего был послан на анализ в аваст и потом был удален авастом. Постоянно обнаруживаются вирусы. avast! [DOM2-C407B4B801]: Файл "C:\WINDOWS\System32\x" заражен вирусом "Win32:Confi [Wrm]".
Используется задача "Экран файловой системы"
Версия VPS файла - 110311-0, 11.03.2011
Последний раз редактировалось RoMan_VND; 12.03.2011 в 13:44.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Здравствуйте.
Отключите:
-ПК от интернета
-Все защитные приложения
-Восстановление системы
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:procedure WhatService(AServiceName : string); var dllname, servicekey : string; begin servicekey := 'SYSTEM\CurrentControlSet\Services\'+AServiceName; RegKeyResetSecurity( 'HKLM', servicekey); RegKeyResetSecurity( 'HKLM', servicekey+'\Parameters'); AddToLog('Description: '+RegKeyStrParamRead( 'HKLM', servicekey, 'Description')); AddToLog('DisplayName: '+RegKeyStrParamRead( 'HKLM', servicekey, 'DisplayName')); AddToLog('ImagePath: '+RegKeyStrParamRead( 'HKLM', servicekey, 'ImagePath')); dllname := RegKeyStrParamRead( 'HKLM', servicekey+'\Parameters', 'ServiceDll'); AddToLog('ServiceDll: '+dllname); QuarantineFile(dllname,''); end; begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\xdx.exe',''); QuarantineFile('C:\Documents and Settings\ульяна\ms.exe',''); QuarantineFile('C:\WINDOWS\system32\76.exe',''); QuarantineFile('C:\WINDOWS\system32\75.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe',''); QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe'); DeleteFile('C:\WINDOWS\system32\75.exe'); DeleteFile('C:\WINDOWS\system32\76.exe'); DeleteFile('C:\Documents and Settings\ульяна\ms.exe'); DeleteFile('C:\xdx.exe'); DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww'); WhatService('humavqwnp'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,3,true); SaveLog(GetAVZDirectory+'avz.log'); BC_Activate; RebootWindows(true); end.
Затем выполните ещё один скрипт:
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Пролечитесь вот так.Сообщение от RoMan_VND
Сделайте повторные логи.
Файл avz.log из папки AVZ приложите к следующему сообщению.
Пожалуйста, сделайте лог MBAM.
Сделал. кк.ехе ничего не обнаружил.
патчи уже установлены.
Очень часто вылазит после обнаружении вируса авастом - ошибка svhost, после закрытия окна которого комп виснет.
Последний раз редактировалось RoMan_VND; 13.03.2011 в 21:55.
Установите все новые обновления для Windows
Удалите в МВАМ только указанные ниже записиКод:Заражённые папки: c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413 (Worm.AutoRun) -> No action taken. c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> No action taken. Заражённые файлы: c:\WINDOWS\system32\cvurme.dll (Worm.Conficker) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\0JI3K98R\crdoyf[1].bmp (Extension.Mismatch) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\0JI3K98R\dprck[1].png (Extension.Mismatch) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\0JI3K98R\exfn[1].png (Extension.Mismatch) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\0JI3K98R\fhdo[1].png (Extension.Mismatch) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\0JI3K98R\gtxfvm[1].gif (Extension.Mismatch) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\0JI3K98R\lhkw[1].gif (Extension.Mismatch) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\0JI3K98R\lqsxvvx[1].jpg (Extension.Mismatch) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\0JI3K98R\mzgkjymn[1].jpg (Extension.Mismatch) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\0JI3K98R\pndyjies[1].bmp (Extension.Mismatch) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\0JI3K98R\udbqgvb[1].png (Extension.Mismatch) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\0JI3K98R\upegywsy[1].gif (Extension.Mismatch) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\0JI3K98R\vklv[1].bmp (Extension.Mismatch) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\0JI3K98R\xprvz[1].jpg (Extension.Mismatch) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\6P0121U1\7[1].exe (Trojan.Downloader) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\6P0121U1\cmsr[1].gif (Extension.Mismatch) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\6P0121U1\dtncgq[1].png (Extension.Mismatch) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\6P0121U1\dydomrnn[1].png (Extension.Mismatch) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\6P0121U1\ienxtj[1].gif (Extension.Mismatch) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\6P0121U1\jaxfj[1].jpg (Extension.Mismatch) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\6P0121U1\jynodfo[1].png (Extension.Mismatch) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\6P0121U1\lweeg[1].bmp (Extension.Mismatch) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\6P0121U1\mwgnm[1].gif (Extension.Mismatch) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\6P0121U1\r2[1].exe (Spyware.Passwords.XGen) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\6P0121U1\r2[2].exe (Spyware.Passwords.XGen) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\6P0121U1\rkhlowuz[1].png (Extension.Mismatch) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\6P0121U1\sondg[1].gif (Extension.Mismatch) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\6P0121U1\tcvbgzs[1].jpg (Extension.Mismatch) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\6P0121U1\twyho[1].jpg (Extension.Mismatch) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\6P0121U1\xcaiha[1].gif (Extension.Mismatch) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\6P0121U1\xvtcis[1].jpg (Extension.Mismatch) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\EV89EFOD\ancv[1].png (Extension.Mismatch) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\EV89EFOD\ausv[1].jpg (Extension.Mismatch) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\EV89EFOD\fhiekdn[1].jpg (Extension.Mismatch) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\EV89EFOD\gobnvsiu[1].gif (Extension.Mismatch) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\EV89EFOD\lhwwc[1].bmp (Extension.Mismatch) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\EV89EFOD\oaotnz[1].jpg (Extension.Mismatch) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\EV89EFOD\ooctp[1].gif (Extension.Mismatch) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\EV89EFOD\wwdekul[1].gif (Extension.Mismatch) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\EV89EFOD\xvtcis[1].bmp (Extension.Mismatch) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\WVY7UD8T\7[1].exe (Trojan.Downloader) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\WVY7UD8T\dprck[1].png (Extension.Mismatch) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\WVY7UD8T\jwxsmmwe[1].bmp (Extension.Mismatch) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\WVY7UD8T\nuwden[1].bmp (Extension.Mismatch) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\WVY7UD8T\r2[1].exe (Spyware.Passwords.XGen) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\WVY7UD8T\sitbk[1].png (Extension.Mismatch) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\WVY7UD8T\snwgt[1].bmp (Extension.Mismatch) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\WVY7UD8T\snwgt[1].gif (Extension.Mismatch) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\WVY7UD8T\txiwfuv[1].png (Extension.Mismatch) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\WVY7UD8T\xoklv[1].jpg (Extension.Mismatch) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\WVY7UD8T\yctxz[1].bmp (Extension.Mismatch) -> No action taken. c:\RECYCLER\s-1-5-21-527237240-1547161642-1417001333-1004\Dc32\avz00001.dta (Trojan.Downloader) -> No action taken. c:\RECYCLER\s-1-5-21-527237240-1547161642-1417001333-1004\Dc32\avz00002.dta (Trojan.Downloader) -> No action taken. c:\RECYCLER\s-1-5-21-527237240-1547161642-1417001333-1004\Dc32\avz00004.dta (Trojan.Downloader) -> No action taken. c:\RECYCLER\s-1-5-21-527237240-1547161642-1417001333-1004\Dc32\avz00005.dta (Trojan.FakeAlert) -> No action taken. c:\RECYCLER\s-1-5-21-527237240-1547161642-1417001333-1004\Dc33\avz00007.dta (Trojan.Downloader) -> No action taken. c:\RECYCLER\s-1-5-21-527237240-1547161642-1417001333-1004\Dc33\avz00008.dta (Trojan.Downloader) -> No action taken. c:\RECYCLER\s-1-5-21-527237240-1547161642-1417001333-1004\Dc33\avz00010.dta (Trojan.Downloader) -> No action taken. c:\RECYCLER\s-1-5-21-527237240-1547161642-1417001333-1004\Dc33\avz00011.dta (Trojan.FakeAlert) -> No action taken. c:\WINDOWS\system32\10.scr (Spyware.Passwords.XGen) -> No action taken. c:\WINDOWS\system32\58.scr (Spyware.Passwords.XGen) -> No action taken. c:\WINDOWS\system32\66.scr (Spyware.Passwords.XGen) -> No action taken. c:\Разное\антивирусы\фыв\avz4\avz4\Infected\2011-03-13\avz00001.dta (Worm.Conficker) -> No action taken. c:\Разное\антивирусы\фыв\avz4\avz4\quarantine\2011-03-10\avz00001.dta (Trojan.Downloader) -> No action taken. c:\Разное\антивирусы\фыв\avz4\avz4\quarantine\2011-03-10\avz00002.dta (Trojan.Downloader) -> No action taken. c:\Разное\антивирусы\фыв\avz4\avz4\quarantine\2011-03-10\avz00003.dta (Trojan.Downloader) -> No action taken. c:\Разное\антивирусы\фыв\avz4\avz4\quarantine\2011-03-10\avz00004.dta (Trojan.Downloader) -> No action taken. c:\Разное\антивирусы\фыв\avz4\avz4\quarantine\2011-03-10\avz00005.dta (Trojan.FakeAlert) -> No action taken. c:\Разное\антивирусы\фыв\avz4\avz4\quarantine\2011-03-11\avz00005.dta (Trojan.Downloader) -> No action taken. c:\Разное\антивирусы\фыв\avz4\avz4\quarantine\2011-03-11\avz00006.dta (Trojan.Downloader) -> No action taken. c:\Разное\антивирусы\фыв\avz4\avz4\quarantine\2011-03-11\avz00007.dta (Trojan.Downloader) -> No action taken. c:\Разное\антивирусы\фыв\avz4\avz4\quarantine\2011-03-11\avz00008.dta (Trojan.Downloader) -> No action taken. c:\Разное\антивирусы\фыв\avz4\avz4\quarantine\2011-03-11\avz00009.dta (Trojan.FakeAlert) -> No action taken. c:\Разное\антивирусы\фыв\avz4\avz4\quarantine\2011-03-13\avz00001.dta (Spyware.Passwords.XGen) -> No action taken. c:\Разное\антивирусы\фыв\avz4\avz4\quarantine\2011-03-13\avz00002.dta (Spyware.Passwords.XGen) -> No action taken. c:\Разное\антивирусы\фыв\avz4\avz4\quarantine\2011-03-13\avz00003.dta (Spyware.Passwords.XGen) -> No action taken. c:\documents and settings\ПАПА\serv8.exe (Worm.Palevo) -> No action taken. c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413\Desktop.ini (Worm.AutoRun) -> No action taken. c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Worm.AutoRun.Gen) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
А можно как то так же сделать через gmer?
типа так:
создать батник и запустить рядом с gmer:
gmer.exe -del file "D:\WINDOWS\system32\uwhce.dll"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\crvafhsa"
или только через MBAM?
Уж больно долго МВАМ сканирует.
Там кроме Kido хватает гадости
А повторный лог gmer можно тоже сделать
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Вродь что то сделал. Подскажите, как удалить заразу через авз или gmer. Через МВАМ не понятно как их удалять.
Последний раз редактировалось RoMan_VND; 19.03.2011 в 20:58.
А для чего ссылка Удалите в МВАМ Вам была дана??? Удаляйте указанные в сообщении №4 строки
1. Откройте Блокнот и скопируйте в него текст скрипта
2. Нажмите Файл - Сохранить какКод:gmer.exe -del service uaunemp gmer.exe -del file "C:\WINDOWS\system32\cvurme.dll" gmer.exe -del file "C:\WINDOWS\system32\57.exe" gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\uaunemp" gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\uaunemp" gmer.exe -reboot
3. Выберите папку, в которую сохранили gmer.exe (gmer)
4. Укажите Тип файла - Все файлы (*.*)
5. Введите имя файла cleanup.bat и нажмите кнопку Сохранить
6. Запустите cleanup.bat
ВНИМАНИЕ: Компьютер перезагрузится!!!
Сделайте новый лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 27
- В ходе лечения обнаружены вредоносные программы:
- c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1413\\syitm.exe - Trojan.Win32.FakeAV.bgxx ( DrWEB: Win32.HLLW.Autoruner.17766, BitDefender: Trojan.Generic.KD.152498, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:FakeSysdef-ED [Trj] )
- c:\\windows\\system32\\10.scr - Backdoor.Win32.IRCBot.sos ( DrWEB: BackDoor.IRC.Bot.192, BitDefender: Trojan.Generic.KDV.154989, NOD32: Win32/AutoRun.IRCBot.FC worm, AVAST4: Win32:Renos-YD [Trj] )
- c:\\windows\\system32\\58.scr - Backdoor.Win32.IRCBot.sos ( DrWEB: BackDoor.IRC.Bot.192, BitDefender: Trojan.Generic.KDV.154989, NOD32: Win32/AutoRun.IRCBot.FC worm, AVAST4: Win32:Renos-YD [Trj] )
- c:\\windows\\system32\\66.scr - Backdoor.Win32.IRCBot.sos ( DrWEB: BackDoor.IRC.Bot.192, BitDefender: Trojan.Generic.KDV.154989, NOD32: Win32/AutoRun.IRCBot.FC worm, AVAST4: Win32:Renos-YD [Trj] )
- c:\\windows\\system32\\75.exe - Backdoor.Win32.Floder.f ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KD.152496, AVAST4: Win32:Downloader-NUE [Trj] )
- c:\\windows\\system32\\76.exe - Backdoor.Win32.Floder.f ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KD.152496, AVAST4: Win32:Downloader-NUE [Trj] )
- c:\\xdx.exe - Backdoor.Win32.Floder.e ( DrWEB: Win32.HLLW.Siggen.1592, BitDefender: Trojan.Generic.KD.152836, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Downloader-NUE [Trj] )
Уважаемый(ая) RoMan_VND, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
