Показано с 1 по 6 из 6.

вирусы (заявка № 102420)

  1. #1
    Junior Member Репутация
    Регистрация
    15.07.2010
    Сообщений
    12
    Вес репутации
    28

    Exclamation вирусы

    помогите постоянно лезут вирусы

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,458
    Вес репутации
    342
    Уважаемый(ая) Darky, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    1.Профиксите в HijackThis
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe
    O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
    2. Выполните скрипт в AVZ
    Код:
    procedure WhatService(AServiceName : string);
      var
       dllname, servicekey : string;
      begin
       servicekey := 'SYSTEM\CurrentControlSet\Services\'+AServiceName;
       RegKeyResetSecurity( 'HKLM', servicekey);
       RegKeyResetSecurity( 'HKLM', servicekey+'\Parameters');
       AddToLog('Description: '+RegKeyStrParamRead( 'HKLM', servicekey, 'Description'));
       AddToLog('DisplayName: '+RegKeyStrParamRead( 'HKLM', servicekey, 'DisplayName'));
       AddToLog('ImagePath: '+RegKeyStrParamRead( 'HKLM', servicekey, 'ImagePath'));
       dllname := RegKeyStrParamRead( 'HKLM', servicekey+'\Parameters', 'ServiceDll');
       AddToLog('ServiceDll: '+dllname);
       QuarantineFile(dllname,'');
      end;
     begin
      SearchRootkit(true, true);
      SetAVZGuardStatus(True);
      WhatService('abcropa');
      WhatService('abooxkfdb');
      WhatService('agrkbr');
      WhatService('ailclb');
      WhatService('aqwgbv');
      WhatService('bvkqbr');
      WhatService('cgrgkd');
      WhatService('cpvqxltk');
      WhatService('cugnu');
      WhatService('cvfrqvjas');
      WhatService('dhfiiubum');
      WhatService('dqjeqlhg');
      WhatService('egldtnjet');
      WhatService('ffufgui');
      WhatService('fjprdq');
      WhatService('fmbupaz');
      WhatService('gohonhlw');
      WhatService('gptvvv');
      WhatService('grwuu');
      WhatService('gwgii');
      WhatService('gywlps');
      WhatService('hgrlzgyp');
      WhatService('hmksys');
      WhatService('jcytcrif');
      WhatService('jtrmyhepr');
      WhatService('kboquy');
      WhatService('kkvfvxn');
      WhatService('knrjgzk');
      WhatService('kqxilq');
      WhatService('krwympdw');
      WhatService('leqojc');
      WhatService('lfddz');
      WhatService('lwhgwnok');
      WhatService('mduyhwgsa');
      WhatService('mgyyfe');
      WhatService('nhaux');
      WhatService('pfrmryasa');
      WhatService('pfwjfe');
      WhatService('pqjsiai');
      WhatService('qdsayuk');
      WhatService('qjkzamp');
      WhatService('quvdlwi');
      WhatService('qwbrczsh');
      WhatService('rhqjlmn');
      WhatService('rrmrylo');
      WhatService('swcqqm');
      WhatService('ulxbqme');
      WhatService('urwlce');
      WhatService('wcinruof');
      WhatService('wjljnelry');
      WhatService('wnltryle');
      WhatService('wwuhvnetl');
      WhatService('xkwqchb');
      WhatService('xnjvfltl');
      WhatService('yesql');
      WhatService('ylxsatm');
      WhatService('zmcctegxu');
      WhatService('znjnbrz');
      WhatService('zoedw');
      QuarantineFile('C:\windows\system32\75.exe','');
      QuarantineFile('C:\windows\system32\10.exe','');
      QuarantineFile('C:\windows\system32\07.exe','');
      DeleteFile('C:\windows\system32\07.exe');
      DeleteFile('C:\windows\system32\10.exe');
      DeleteFile('C:\windows\system32\16.exe');
      DeleteFile('C:\windows\system32\75.exe');
      BC_ImportAll;
      ExecuteSysClean;
      ExecuteWizard('TSW', 2, 2, true);
      ExecuteWizard('SCU', 2, 2, true);
      RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
      BC_Activate;
      SaveLog(GetAVZDirectory+'abcropa.log');
      RebootWindows(true);
     end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - файл abcropa.log прикрепите к сообщению

    Обновите систему
    - SP2 обновите до Service Pack 3(может потребоваться активация)
    * Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
    * Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.тут
    - Установите Internet-Explorer 8.(даже если Вы его не используете)
    - Поставте все последние обновления системы Windows - тут

    После обновления:
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
    - Сделайте лог MBAM

  5. #4
    Junior Member Репутация
    Регистрация
    15.07.2010
    Сообщений
    12
    Вес репутации
    28
    скрипты выполнили
    SP 3 не ставится почему то

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    - Выполните скрипт в AVZ
    Код:
    Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
     var
      i : integer; 
      KeyList : TStringList;
      KeyName : string;                           
     begin
      RegKeyResetSecurity(ARoot, AName);
      KeyList := TStringList.Create;
      RegKeyEnumKey(ARoot, AName, KeyList);
      for i := 0 to KeyList.Count-1 do
       begin
        KeyName := AName+'\'+KeyList[i];
        RegKeyResetSecurity(ARoot, KeyName);
        RegKeyResetSecurityEx(ARoot, KeyName);
       end;
      KeyList.Free;
     end;
    Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
     var
      i : integer;
      KeyList : TStringList;
      KeyName : string;                           
     begin
      Result := 0;
      if StopService(AServiceName) then Result := Result or 1;
      if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
      KeyList := TStringList.Create;
      RegKeyEnumKey('HKLM','SYSTEM', KeyList);
      for i := 0 to KeyList.Count-1 do
       if pos('controlset', LowerCase(KeyList[i])) > 0 then
        begin
         KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;                                     
         if RegKeyExistsEx('HKLM', KeyName) then
          begin
           Result := Result or 4;                  
           RegKeyResetSecurityEx('HKLM', KeyName);
           RegKeyDel('HKLM', KeyName);
           if RegKeyExistsEx('HKLM', KeyName) then               
           Result := Result or 8;                  
          end;
        end;                 
      if AIsSvcHosted then
        BC_DeleteSvcReg(AServiceName)
       else
        BC_DeleteSvc(AServiceName);
      KeyList.Free;
     end;
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
    BC_ServiceKill('abcropa');
      BC_ServiceKill('abooxkfdb');
      BC_ServiceKill('agrkbr');
      BC_ServiceKill('ailclb');
      BC_ServiceKill('aqwgbv');
      BC_ServiceKill('bvkqbr');
      BC_ServiceKill('cgrgkd');
      BC_ServiceKill('cpvqxltk');
      BC_ServiceKill('cugnu');
      BC_ServiceKill('cvfrqvjas');
      BC_ServiceKill('dhfiiubum');
      BC_ServiceKill('dqjeqlhg');
      BC_ServiceKill('egldtnjet');
      BC_ServiceKill('ffufgui');
      BC_ServiceKill('fjprdq');
      BC_ServiceKill('fmbupaz');
      BC_ServiceKill('gohonhlw');
      BC_ServiceKill('gptvvv');
      BC_ServiceKill('grwuu');
      BC_ServiceKill('gwgii');
      BC_ServiceKill('gywlps');
      BC_ServiceKill('hgrlzgyp');
      BC_ServiceKill('hmksys');
      BC_ServiceKill('jcytcrif');
      BC_ServiceKill('jtrmyhepr');
      BC_ServiceKill('kboquy');
      BC_ServiceKill('kkvfvxn');
      BC_ServiceKill('knrjgzk');
      BC_ServiceKill('kqxilq');
      BC_ServiceKill('krwympdw');
      BC_ServiceKill('leqojc');
      BC_ServiceKill('lfddz');
      BC_ServiceKill('lwhgwnok');
      BC_ServiceKill('mduyhwgsa');
      BC_ServiceKill('mgyyfe');
      BC_ServiceKill('nhaux');
      BC_ServiceKill('pfrmryasa');
      BC_ServiceKill('pfwjfe');
      BC_ServiceKill('pqjsiai');
      BC_ServiceKill('qdsayuk');
      BC_ServiceKill('qjkzamp');
      BC_ServiceKill('quvdlwi');
      BC_ServiceKill('qwbrczsh');
      BC_ServiceKill('rhqjlmn');
      BC_ServiceKill('rrmrylo');
      BC_ServiceKill('swcqqm');
      BC_ServiceKill('ulxbqme');
      BC_ServiceKill('urwlce');
      BC_ServiceKill('wcinruof');
      BC_ServiceKill('wjljnelry');
      BC_ServiceKill('wnltryle');
      BC_ServiceKill('wwuhvnetl');
      BC_ServiceKill('xkwqchb');
      BC_ServiceKill('xnjvfltl');
      BC_ServiceKill('yesql');
      BC_ServiceKill('ylxsatm');
      BC_ServiceKill('zmcctegxu');
      BC_ServiceKill('znjnbrz');
      BC_ServiceKill('zoedw');
     QuarantineFile('C:\windows\aadrive32.exe','');
     QuarantineFile('C:\windows\system32\dn.exe','');
     QuarantineFile('C:\windows\system32\82.exe','');
     QuarantineFile('C:\windows\system32\75.exe','');
     QuarantineFile('C:\windows\system32\62.exe','');
     QuarantineFile('C:\windows\system32\35.exe','');
     QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
     QuarantineFile('C:\windows\winlogin.exe','');
     QuarantineFile('C:\Documents and Settings\Vladimir\Application Data\Vvdfda.exe','');
     QuarantineFile('c:\windows\aadrive32.exe','');
     TerminateProcessByName('c:\windows\aadrive32.exe');
     DeleteFile('c:\windows\aadrive32.exe');
     DeleteFile('C:\Documents and Settings\Vladimir\Application Data\Vvdfda.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Vvdfda');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
     DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
     DeleteFile('C:\windows\system32\13.exe');
     DeleteFile('C:\windows\system32\15.exe');
     DeleteFile('C:\windows\system32\30.exe');
     DeleteFile('C:\windows\system32\35.exe');
     DeleteFile('C:\windows\system32\62.exe');
     DeleteFile('C:\windows\system32\75.exe');
     DeleteFile('C:\windows\system32\dn.exe');
     DeleteFile('C:\windows\aadrive32.exe');
     DeleteFile('C:\windows\winlogin.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

    - удалите в MBAM все оставшееся из этого
    Код:
    Заражённые процессы в памяти:
    c:\WINDOWS\winlogin.exe (Trojan.Agent.Gen) -> 3840 -> No action taken.
    c:\WINDOWS\aadrive32.exe (Malware.Gen) -> 3864 -> No action taken.
    
    
    Заражённые ключи в реестре:
    HKEY_CLASSES_ROOT\CLSID\{BF56A325-23F2-42AD-F4E4-00AAC39CAA53} (Trojan.Ertfor) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{BF56A325-23F2-42AD-F4E4-00AAC39CAA53} (Trojan.Ertfor) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{BF56A325-23F2-42AD-F4E4-00AAC39CAA53} (Trojan.Ertfor) -> No action taken.
    HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogo2 (Trojan.Agent) -> No action taken.
    
    Заражённые параметры в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows (Trojan.Agent.Gen) -> Value: Windows -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Driver Setup (Malware.Gen) -> Value: Microsoft Driver Setup -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Microsoft Driver Setup (Malware.Gen) -> Value: Microsoft Driver Setup -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Vvdfda (Malware.Gen) -> Value: Vvdfda -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\idstrf (Malware.Trace) -> Value: idstrf -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\WINID (Malware.Trace) -> Value: WINID -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Value: option_1 -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Value: option_2 -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Value: option_3 -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Trojan.Agent) -> Value: Taskman -> No action taken.
    
    Объекты реестра заражены:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Malware.Gen) -> Bad: (c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe) Good: () -> No action taken.
    
    Заражённые папки:
    c:\program files\microsoft common (Trojan.Agent) -> No action taken.
    c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> No action taken.
    
    Заражённые файлы:
    c:\WINDOWS\winlogin.exe (Trojan.Agent.Gen) -> No action taken.
    c:\WINDOWS\aadrive32.exe (Malware.Gen) -> No action taken.
    c:\documents and settings\vladimir\application data\vvdfda.exe (Malware.Gen) -> No action taken.
    c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe (Malware.Gen) -> No action taken.
    c:\documents and settings\localservice\local settings\temporary internet files\Content.IE5\R1W972L7\logo[1].gif (Extension.Mismatch) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\DY8V9F1N\o[1].exe (Malware.Gen) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\KH45JBR9\ifircx[1].gif (Extension.Mismatch) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\SP634X2Z\o[1].exe (Malware.Gen) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\SP634X2Z\yxtvthr[1].bmp (Extension.Mismatch) -> No action taken.
    c:\documents and settings\Vladimir\dgjdd.exe (Malware.Gen) -> No action taken.
    c:\documents and settings\Vladimir\application data\C.tmp (Malware.Gen) -> No action taken.
    c:\documents and settings\Vladimir\local settings\temporary internet files\Content.IE5\WJNJNUEG\ng2[1].exe (Malware.Gen) -> No action taken.
    c:\WINDOWS\system32\13.exe (Malware.Gen) -> No action taken.
    c:\WINDOWS\system32\15.exe (Malware.Gen) -> No action taken.
    c:\WINDOWS\system32\21.exe (Malware.Gen) -> No action taken.
    c:\WINDOWS\system32\30.exe (Malware.Gen) -> No action taken.
    c:\WINDOWS\system32\35.exe (Malware.Gen) -> No action taken.
    c:\WINDOWS\system32\36.exe (Malware.Gen) -> No action taken.
    c:\WINDOWS\system32\62.exe (Malware.Gen) -> No action taken.
    c:\WINDOWS\system32\75.exe (Malware.Gen) -> No action taken.
    c:\WINDOWS\system32\82.exe (Malware.Gen) -> No action taken.
    c:\WINDOWS\system32\dn.exe (Trojan.Agent.Gen) -> No action taken.
    c:\program files\common files\keylog.txt (Malware.Trace) -> No action taken.
    c:\WINDOWS\Help\kfdtk.chm (Malware.Trace) -> No action taken.
    c:\WINDOWS\nigzss.txt (Malware.Trace) -> No action taken.
    c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Worm.AutoRun.Gen) -> No action taken.
    вот это сделайте
    Цитата Сообщение от polword Посмотреть сообщение
    Обновите систему
    - SP2 обновите до Service Pack 3(может потребоваться активация)
    * Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
    * Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.тут
    - Поставте все последние обновления системы Windows - тут
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
    - Сделайте лог MBAM

  7. #6
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 151
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\dn.exe - Worm.Win32.AutoRun.cjdz ( DrWEB: BackDoor.IRC.Sdbot.15798, BitDefender: Trojan.Generic.KDV.229092, AVAST4: Win32:Kryptik-COT [Trj] )
      2. c:\\windows\\winlogin.exe - Worm.Win32.AutoRun.cjdz ( DrWEB: BackDoor.IRC.Sdbot.15798, BitDefender: Trojan.Generic.KDV.229092, AVAST4: Win32:Kryptik-COT [Trj] )


  • Уважаемый(ая) Darky, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Вирусы-картинки и вирусы-музыка?
      От catmen08 в разделе Общая сетевая безопасность
      Ответов: 16
      Последнее сообщение: 04.05.2010, 16:01
    2. Ответов: 1
      Последнее сообщение: 09.04.2010, 17:00
    3. Ответов: 9
      Последнее сообщение: 22.02.2009, 09:44
    4. Вирусы полечил, вирусы остались
      От Yurii в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 17.07.2008, 06:57
    5. Вирусы... снова вирусы
      От Len в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 01.06.2008, 15:59

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01492 seconds with 16 queries