Пытался удалить вырус, но не получается. Редактирование реестра запрещено. Логи прилагаю. Надеюсь на вашу помощь. Заранее спасибо.
Пытался удалить вырус, но не получается. Редактирование реестра запрещено. Логи прилагаю. Надеюсь на вашу помощь. Заранее спасибо.
Пофиксите в HiJack
Выполните скрипт в AVZКод:O20 - AppInit_DLLs: app_dll.dll
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\app_dll.dll',''); QuarantineFile('C:\Documents and Settings\Администратор\csrss.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\csrss.exe,explorer.exe,C:\Documents and Settings\Администратор\Application Data\nisgw.exe,Explorer.exe',''); QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\ioaagtzfxra.sys',''); DeleteService('zfjhg'); QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\nvnpahdynyt.sys',''); DeleteService('bpvjhrzblqn'); QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\penifoco.exe',''); DeleteService('wyqjozyaijmayy'); QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\kywudir.exe',''); DeleteService('lqra5yuu0e5uuoq4'); TerminateProcessByName('c:\program files\internet explorer\wmpscfgs.exe'); QuarantineFile('c:\program files\internet explorer\wmpscfgs.exe',''); DeleteFile('c:\program files\internet explorer\wmpscfgs.exe'); DeleteFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\kywudir.exe'); DeleteFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\penifoco.exe'); DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\nvnpahdynyt.sys'); DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\ioaagtzfxra.sys'); DeleteFile('C:\Documents and Settings\Администратор\csrss.exe,explorer.exe,C:\Documents and Settings\Администратор\Application Data\nisgw.exe,Explorer.exe'); DeleteFile('C:\Documents and Settings\Администратор\csrss.exe'); DeleteFile('C:\WINDOWS\system32\app_dll.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); DeleteFileMask('C:\Windows\Tasks', 'At*.job', true); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(17); RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Результат загрузки
Файл сохранён как 100409_184836_virus_4bbf3e4470ca2.zip
Размер файла 618613
MD5 b068865fa1788fd08c98237b40f5bf1b
Зашёл в program files, в папку с касперским. Смутили файлы "avp.exe" и "avp .exe". Иконка другая. Может эта информация как-то поможет.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
thyrex, в нормальном режиме оно зависает.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Файлы могу отправить днём, сейчас не имею доступа к компьютеру. В нормальном режиме запускалось и через минут 10 зависало, а потом всё то, что удалял скрипт восстанавливалось. (Видимо служба avp восстанавливала вирус) Не знаю на сколько это верно, но я хочу добавить в скрипт команду удаления файлов "avp.exe" и "avp .exe" и соответсвтующие им службы. А уже потом переделать и выложить логи в нормальном режиме. Что вы на это скажете?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Прикрепляю новые логи, сделанные в нормальном режиме.
А вот архив с вирусами к сожалению забыл скопировать.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('\Device\HarddiskVolume3\DOCUME~1\9335~1\LOCALS~1\Temp\RarSFX2\a9q2bxp.exe'); QuarantineFile('\Device\HarddiskVolume3\DOCUME~1\9335~1\LOCALS~1\Temp\RarSFX2\a9q2bxp.exe',''); DeleteFile('\Device\HarddiskVolume3\DOCUME~1\9335~1\LOCALS~1\Temp\RarSFX2\a9q2bxp.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Дополнительно к предыдущему сообщению выполните. Программы, удаляемые в скрипте, придется переустановить. Они подменены вирусом
Возможно также подменены и файлы антивируса. Срочно прислать их
Выполните скрипт в AVZ
Компьютер перезагрузитсяКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Program Files\VistaDriveIcon\VistaDrv.exe',''); QuarantineFile('C:\Program Files\Punto Switcher\ps.exe',''); QuarantineFile('C:\Program Files\Mail.Ru\Agent\magent.exe',''); DeleteFile('C:\Program Files\Mail.Ru\Agent\magent.exe'); DeleteFile('C:\Program Files\Punto Switcher\ps.exe'); DeleteFile('C:\Program Files\VistaDriveIcon\VistaDrv.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 23
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\администратор\application data\microsoft\kywudir.exe - Trojan-Dropper.Win32.Vidro.nl ( DrWEB: Trojan.Siggen1.20298, AVAST4: Win32:Crypt-GCF [Trj] )
- c:\documents and settings\администратор\application data\microsoft\penifoco.exe - Trojan-Clicker.Win32.Cycler.ozg ( DrWEB: Win32.HLLC.Asdas.4, BitDefender: Trojan.Agent.APFB, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\documents and settings\администратор\application data\nisgw.exe - Backdoor.Win32.EggDrop.anu ( DrWEB: Trojan.Inject.8602, BitDefender: Trojan.Agent.Delf.RKX, AVAST4: Win32:Flot-E [Trj] )
- c:\documents and settings\администратор\csrss.exe - P2P-Worm.Win32.Palevo.abwc ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Gen:Variant.Rimecud.1 )
- c:\docume~1\9335~1\locals~1\temp\ioaagtzfxra.sys - Backdoor.Win32.Agent.arme ( DrWEB: Trojan.NtRootKit.2965, BitDefender: Rootkit.34429, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\program files\internet explorer\wmpscfgs.exe - Trojan-Clicker.Win32.Cycler.ozg ( DrWEB: Win32.HLLC.Asdas.4, BitDefender: Trojan.Agent.APFB, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\app_dll.dll - Trojan.Win32.FraudPack.apul ( DrWEB: Trojan.Siggen.59885, BitDefender: Trojan.Generic.3602389, AVAST4: Win32:Spambot-EL [Trj] )
Уважаемый(ая) Mailik, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.