Жутко тормозит систему, Cureit его удалить не может, удалил "Cezurity_Antivirus" но после перезагрузки вирус снова появился.
http://virusinfo.info/virusdetector/...8F3D8EBBD80BE7
Жутко тормозит систему, Cureit его удалить не может, удалил "Cezurity_Antivirus" но после перезагрузки вирус снова появился.
http://virusinfo.info/virusdetector/...8F3D8EBBD80BE7
Уважаемый(ая) foxed, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Логи
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('c:\users\18ee~1\appdata\local\temp\svchost.exe'); TerminateProcessByName('c:\users\18ee~1\appdata\local\temp\msvdn.exe'); TerminateProcessByName('c:\users\18ee~1\appdata\local\temp\gallium3d.exe'); QuarantineFile('C:\PROGRA~1\Mesa_3d\gal_st1.dll',''); QuarantineFile('C:\Users\Владимир\appdata\local\temp\msvdn.exe',''); QuarantineFile('C:\Users\Владимир\appdata\local\temp\svchost.exe',''); QuarantineFile('c:\users\18ee~1\appdata\local\temp\svchost.exe',''); QuarantineFile('c:\users\18ee~1\appdata\local\temp\msvdn.exe',''); QuarantineFile('c:\users\18ee~1\appdata\local\temp\gallium3d.exe',''); DeleteFile('c:\users\18ee~1\appdata\local\temp\msvdn.exe'); DeleteFile('c:\users\18ee~1\appdata\local\temp\svchost.exe'); DeleteFile('C:\Users\Владимир\appdata\local\temp\msvdn.exe'); DeleteFile('C:\Users\Владимир\appdata\local\temp\svchost.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU', 2,2, true); RebootWindows(true); end.
После перезагрузки:
- Выполните в АВЗ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Сделайте лог полного сканирования МВАМ.
ProxyServer = 103.5.187.30:8080 - сами прописывали ?
Последний раз редактировалось regist; 25.03.2013 в 10:43.
При выполнение скипта вирус удалило, но после перезагрузки он снова появился.
P.S. Прокси не юзаю.
МВАМ скину позже, ПК сильно грузит, очень долго сканирует.
Логи.
Mesa_3d - такая программа вам знакома ? ставили её ? если нет поищите в установке и удаление программ и деинсталируйте если она там есть.
Сейчас посмотрю.
Вот лог MBAM
upd. "Mesa_3d" не нашел такой программы.
Папку C:\PROGRA~1\Mesa_3d запакуйте в архив с паролем virus и загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
- Выполните в АВЗ:
Компьютер перезагрузитсяКод:begin TerminateProcessByName('c:\users\18ee~1\appdata\local\temp\svchost.exe'); TerminateProcessByName('c:\users\18ee~1\appdata\local\temp\msvdn.exe'); TerminateProcessByName('c:\users\18ee~1\appdata\local\temp\gallium3d.exe'); QuarantineFile('C:\Users\Владимир\AppData\Roaming\winsvcns.sys',''); DeleteFile('C:\Users\Владимир\AppData\Roaming\winsvcns.sys'); DeleteFile('c:\users\18ee~1\appdata\local\temp\gallium3d.exe'); DeleteFile('c:\users\18ee~1\appdata\local\temp\msvdn.exe'); DeleteFile('C:\PROGRA~1\Mesa_3d\gal_st1.dll'); DeleteFile('C:\Users\18EE~1\AppData\Local\Temp\svchost.exe'); DeleteFile('C:\Users\Владимир\appdata\local\temp\msvdn.exe'); DeleteFile('C:\Users\Владимир\appdata\local\temp\svchost.exe'); DeleteFileMask('C:\PROGRA~1\Mesa_3d','*',true); Deletedirectory('C:\PROGRA~1\Mesa_3d'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('TSW',2,3,true); RebootWindows(true); end.
После перезагрузки:
- Выполните в АВЗ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Повторите логи virusinfo_syscheck.zip и hijackthis.log.
Странно, вирус дальше есть, но систему вроде уже не грузит.
Файлы отправил, скрипты выполнил, вот логи.
Готово.
c:\program files\Cezurity - что за антивирус у Вас?
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на диск C:.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: c:\progra~1\Mesa_3d\gal_st1.dll Driver:: NetSvc:: Folder:: c:\progra~1\Mesa_3d Registry:: FileLook:: DirLook:: Reboot::
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
Антивирусный Сканер Cezurity (beta)
Облачный сервис для проверки и лечения компьютера.
(Единственный из антивирусов который смог удалить вирус, правда до 1 перезагрузки)
http://vk.com/app2951231 - Ссылка на него.
Лог.
virusinfo_syscheck.zip повторите.
Прикрепил virusinfo_syscheck.zip
И еще вопрос, в логе combofix есть такое:
Информация
------- Supplementary Scan -------
.
uInternet Settings,ProxyServer = 103.5.187.30:8080
TCP: DhcpNameServer = 192.168.1.1
Откуда этот прокси?
upd. разобрался, прокси вписанные но отключены.
Последний раз редактировалось foxed; 25.03.2013 в 21:36.
Из настроек какого-то браузера.
Вроде не появился. Что с проблемой?
- Удалите ComboFix.
Вирус больше вроде не появлялся
А вот Комбо удалить не могу. При удалении:
wtf.jpg
воспользуйтесь вторым способом.
+
Выполните скрипт в AVZ при наличии доступа в интернет:
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.Код:var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end.
Советы и рекомендации после лечения компьютера
Удалил программу вторым способом, смешно, программа удалила драйвера wifi адаптера.
Все обновления установил.
Спасибо всем за профессиональную помощь.
Последний раз редактировалось foxed; 25.03.2013 в 22:47.
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 38
- В ходе лечения обнаружены вредоносные программы:
- c:\\users\\владимир\\appdata\\local\\temp\\msvdn.e xe - not-a-virus:NetTool.Win32.Tor.d ( DrWEB: Tool.Tor.1 )
- c:\\users\\владимир\\appdata\\local\\temp\\svchost .exe - not-a-virus:RiskTool.Win32.BitCoinMiner.bzj ( DrWEB: Trojan.BtcMine.66, BitDefender: Trojan.Generic.KDV.760200, AVAST4: Win32:Malware-gen )
- c:\\users\\18ee~1\\appdata\\local\\temp\\msvdn.exe - not-a-virus:NetTool.Win32.Tor.d ( DrWEB: Tool.Tor.1 )
- c:\\users\\18ee~1\\appdata\\local\\temp\\svchost.e xe - not-a-virus:RiskTool.Win32.BitCoinMiner.bzj ( DrWEB: Trojan.BtcMine.66, BitDefender: Trojan.Generic.KDV.760200, AVAST4: Win32:Malware-gen )
Уважаемый(ая) foxed, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.