Болеет 3 компьютера, сейчас лечу ноутбук на win xp, dr web cure it в безопасном режиме лечился, результатов нет.
Необходимые файлы прикладываю.
PS: как удалить старые вложения?
Болеет 3 компьютера, сейчас лечу ноутбук на win xp, dr web cure it в безопасном режиме лечился, результатов нет.
Необходимые файлы прикладываю.
PS: как удалить старые вложения?
Последний раз редактировалось regist; 03.09.2014 в 12:36.
Уважаемый(ая) Valter, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
1)Пожалуйста, обновите базы и сделайте новые логи.Внимание !!! База поcледний раз обновлялась 23.02.2014 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз). Протокол антивирусной утилиты AVZ версии 4.43.
2)
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin ExecuteAVUpdate; SearchRootkit(true, true); SetAVZGuardStatus(True); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('c:\docume~1\admin\locals~1\temp\4aojw.exe'); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-447317915\7390901.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862308-13185124\7t11y1q.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862308-131091\7ab45pq.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862308-13108454\78845pq.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862308-131084541\7a8845pq.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862308-1185124\7ty1q.exe',''); QuarantineFile('C:\Program Files\Common Files\CreativeAudio\zthzjnxuc.exe',''); QuarantineFile('C:\Documents and Settings\Admin\Application Data\Update\MSupdate.exe',''); QuarantineFile('C:\Documents and Settings\Admin\Application Data\Identities\Waaoak.exe',''); QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Adobe\Reader_sl.exe',''); QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\kusadtylds.exe',''); QuarantineFile('C:\DOCUME~1\ALLUSE~1\msbzz.exe',''); QuarantineFile('c:\docume~1\admin\locals~1\temp\4aojw.exe',''); DeleteFile('c:\docume~1\admin\locals~1\temp\4aojw.exe','32'); DeleteFile('C:\DOCUME~1\ALLUSE~1\msbzz.exe','32'); DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\kusadtylds.exe','32'); DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Adobe\Reader_sl.exe','32'); DeleteFile('C:\Documents and Settings\Admin\Application Data\Identities\Waaoak.exe','32'); DeleteFile('C:\Documents and Settings\Admin\Application Data\Update\MSupdate.exe','32'); DeleteFile('C:\Program Files\Common Files\CreativeAudio\zthzjnxuc.exe','32'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862308-1185124\7ty1q.exe','32'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862308-131084541\7a8845pq.exe','32'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862308-13108454\78845pq.exe','32'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862308-131091\7ab45pq.exe','32'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862308-13185124\7t11y1q.exe','32'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-447317915\7390901.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','414057012'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Adobe System Incorporated'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MicrosoftStCnt'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Waaoak'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Manager'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CreativeAudio'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CreativeAudio'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','7ry12134'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','79a878op14'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','79878op14'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','79bop14'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','7ry1114'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','77901435'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('SCU',2,3,true); ExecuteWizard('SCU',2,2,true); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- Выполните в АВЗ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
1. Базы обновил, вчера этого сделать не получалось
2. Сделал все точно по инструкции.
Здравствуйте!
- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-44731715\73u3e1.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-44731715\73u3e1.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','77353435'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- Выполните в АВЗ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Скачайте Malwarebytes' Anti-Malware. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Custom Scan" ("Пользовательское сканирование"), нажмите "Scan Now" ("Сканировать сейчас"), отметьте все диски. В выпадающих списках PUP и PUM выберите "Warn user about detections" ("Предупредить пользователя об обнаружении"). Нажмите нажмите "Start Scan" ("Запуск проверки"). После сканирования нажмите Export Log, сохраните в формате txt и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2014-04-09 (07-32-51).txtКод:%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Из mbam не могу сделать экспорт вообще, copy to clipboard не работает, при попытке сохранить в txt mbam закрывается, не сохраняя файл.
По пути %appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs ничего нет.
а во время обновления баз от обновления программы вы отказались? У меня такое чувство, что вы обновились до второй версии. А там как раз подобные баги .
- - - - -Добавлено - - - - -
+ - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
done
Поместите в карантин МВАМ всё кроме
сделайте новый лог сканирования MBAM.Код:Объекты реестра обнаружены: 4 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowHelp (PUM.Hijack.StartMenu) -> Плохо: (0) Хорошо: (1) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято. C:\Documents and Settings\Admin\Мои документы\Dropbox\Public\WinRAR 4.20 Final.rar (RiskWare.Tool.CK) -> Действие не было предпринято.
сделал
- Скачайте Universal Virus Sniffer (uVS)
- Извлеките uVS из архива или из zip-папки.
- Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
- Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
- Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
Код:;uVS v3.82 script [http://dsrt.dyndns.org] adddir %SystemDrive%\Documents and Settings\Admin\Application Data\ crimg- В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
- Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
- После этого в папке с программой будет создан образ автозапуска название, которого имеет формат "имя_компьютера_дата_сканирования". Прикрепите этот образ к следующему сообщению
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Образа автозапуска в папке нет, а вот архив имеется, только вот он не загружается на форум, кончилось место, удалить старые вложения не знаю как, об этом еще в первом посте написал
Как удалить вложения?
Если не поместится загрузите на http://rghost.ru/ и оставьте ссылку на скачивание.
поместился
Выполните скрипт в uVS:
Упакуйте содержимое папки ZOO с помощью WinRar, 7-Zip или WinZip в архив формата .ZIP с паролем virus и отправьте этот файл по ссылке "Прислать запрошенный карантин" над первым сообщением в теме.Код:;uVS v3.83 BETA 25 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE breg addsgn 1A0A339A5583528CF42B627DA804DEC9E946303ADAAC943CA1DBCE7C25CEFA00070348131A45AE9BDC710F47CD526DF68A2E63A1BE9B3BE4A62B803B4C520663 8 BackDoor.IRC.NgrBot.146 [DrWeb] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\6B.EXE bl 3E4C7BEE707A69FA0665E76B61B3A94D 412672 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\6B.EXE addsgn 1A29599A5583528CF42B627DA80491E92957E8D261072E78852BC8BC50D6F2882FD44E031A5175E11A8084CDDDCF75DEF69BCC7E218BD6AD1153DB2DB303CA13 8 trojan zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\15.EXE bl DC2CEDA7680C98F27D8AB9CFC952BFA7 358912 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\15.EXE addsgn 1AB6349A5583528CF42B254E3143FE84C95AFEF6895B974EC1C3F679D9938DC5A6F73EA8C1DC1095D67F7B16D3CEB405825675A6A8254FA598A759D0388F9FBF 64 Trojan.Siggen.65341 [DrWeb] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\C731200 bl 5E11F39501BC972D8C253B78147A8598 378368 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\C731200 deltmp zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\F.EXE chklst delvir restart
Сделайте новый лог uVS.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Карантин прислал, лог сделал.
Выполните скрипт в uVS и пришлите карантин
сделайте новый лог полного сканирования MBAMКод:;uVS v3.83 BETA 25 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 BREG zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\F.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\F.EXE czoo restart
Карантин прислал, лог mbam прикладываю.
Уважаемый(ая) Valter, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.