Доброй ночи.Где то подхватил заразу,я так понял червя.Убить не получается, Авира находит удаляет и по новой.Переустановка системы с полным форматированием винта и новой разбивкой не помогла.Помогите пожалуйста избавиться от этой напасти...
Доброй ночи.Где то подхватил заразу,я так понял червя.Убить не получается, Авира находит удаляет и по новой.Переустановка системы с полным форматированием винта и новой разбивкой не помогла.Помогите пожалуйста избавиться от этой напасти...
Уважаемый(ая) stydent@gmail, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\crssc.exe',''); QuarantineFile('C:\WINDOWS\system32\63.exe',''); QuarantineFile('C:\WINDOWS\system32\60.exe',''); QuarantineFile('C:\WINDOWS\system32\57.exe',''); QuarantineFile('C:\WINDOWS\system32\38.exe',''); QuarantineFile('G:\autorun.inf',''); QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe',''); QuarantineFile('C:\WINDOWS\aadrive32.exe',''); QuarantineFile('C:\WINDOWS\jodrive32.exe',''); QuarantineFile('C:\Documents and Settings\NetworkService\Application Data\Dudedh.exe',''); TerminateProcessByName('c:\windows\aadrive32.exe'); QuarantineFile('c:\windows\aadrive32.exe',''); DeleteFile('c:\windows\aadrive32.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Dudedh'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Dudedh'); DeleteFile('C:\Documents and Settings\NetworkService\Application Data\Dudedh.exe'); DeleteFile('C:\WINDOWS\jodrive32.exe'); DeleteFile('C:\WINDOWS\aadrive32.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Config Setup'); DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe'); DeleteFile('G:\autorun.inf'); DeleteFile('C:\WINDOWS\system32\20.exe'); DeleteFile('C:\WINDOWS\system32\38.exe'); DeleteFile('C:\WINDOWS\system32\57.exe'); DeleteFile('C:\WINDOWS\system32\60.exe'); DeleteFile('C:\WINDOWS\system32\63.exe'); DeleteFile('C:\WINDOWS\system32\crssc.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman '); BC_ImportAll; ExecuteSysClean; ExecuteRepair(11); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Поставте все последние обновления системы Windows - тут
После обновления:
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Сделайте лог MBAM
Файл quarantine.zip отправил раннее а остальное вот:
P.S И почему то на флешке тип у всех папок lnk,при попытке открыть пишет ошибку. Но все папки продублировались в скрытые и там нормально открываются
- удалите в MBAM
- Выполните скрипт в AVZКод:Объекты реестра заражены: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken. Заражённые папки: c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> No action taken. Заражённые файлы: c:\documents and settings\Admin\application data\10.tmp (Malware.Gen) -> No action taken. c:\documents and settings\Admin\application data\11.tmp (Trojan.Downloader) -> No action taken. c:\documents and settings\Admin\application data\1B.tmp (Malware.Gen) -> No action taken. c:\documents and settings\Admin\application data\1C.tmp (Trojan.Downloader) -> No action taken. c:\documents and settings\Admin\application data\248.tmp (Malware.Gen) -> No action taken. c:\documents and settings\Admin\application data\249.tmp (Trojan.Downloader) -> No action taken. c:\documents and settings\Admin\application data\6.tmp (Malware.Gen) -> No action taken. c:\documents and settings\Admin\application data\7.tmp (Trojan.Downloader) -> No action taken. c:\documents and settings\Admin\application data\8.tmp (Malware.Gen) -> No action taken. c:\documents and settings\Admin\application data\9.tmp (Trojan.Downloader) -> No action taken. c:\documents and settings\Admin\application data\Xsdedb.exe (Malware.Gen) -> No action taken. c:\documents and settings\localservice\local settings\temporary internet files\Content.IE5\IE5YFI28\logo[1].gif (Extension.Mismatch) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\4UZL9ME4\202[1].exe (Malware.Gen) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\4UZL9ME4\202[2].exe (Malware.Gen) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\4UZL9ME4\b[1].exe (Malware.Gen) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\IE5YFI28\b[1].exe (Malware.Gen) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\IE5YFI28\qmyms[1].exe (Malware.Gen) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\IE5YFI28\qmyms[2].exe (Malware.Gen) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\PYBX95JT\b[1].exe (Malware.Gen) -> No action taken.
После перезагрузки:Код:begin DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); DeleteFileMask('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5', '*.*', true); RebootWindows(true); end.
- Сделайте лог MBAM
Доброй ночи.В корне диска С/ появилось 2 файла:
DriverPack_LAN_wnt5_x86-32.ini
DriverPack_MassStorage_wnt5_x86-32.ini
и остался какой то непонятный pdfs.exe
Система работает стабильно.Спасибо
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('c:\pdfs.exe',''); DeleteFile('c:\pdfs.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Выслал
P2P-Worm.Win32.Palevo.ctzp
Удаляйте файл
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Не заметил, что его скриптом удалили
Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Всё гуд.спасибо!!!
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 33
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\networkservice\\application data\\dudedh.exe - P2P-Worm.Win32.Palevo.ctzp ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Generic.KDV.232372, NOD32: Win32/Dorkbot.A worm, AVAST4: Win32:Malware-gen )
- c:\\pdfs.exe - P2P-Worm.Win32.Palevo.ctzp ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Generic.KDV.232372, NOD32: Win32/Dorkbot.A worm, AVAST4: Win32:Malware-gen )
- c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\acleaner.exe - Backdoor.Win32.Floder.hs ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Backdoor.Generic.677443, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Malware-gen )
- c:\\windows\\aadrive32.exe - Backdoor.Win32.Floder.hs ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Backdoor.Generic.670618, NOD32: IRC/SdBot trojan, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\crssc.exe - Net-Worm.Win32.Kolab.acem ( DrWEB: BackDoor.IRC.Sdbot.15765, BitDefender: Trojan.Generic.6208851, NOD32: Win32/AutoRun.IRCBot.HY worm, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\38.exe - Trojan.Win32.Menti.gnfq ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Fakealert.26395, NOD32: IRC/SdBot trojan, AVAST4: Win32:Downloader-FWH [Trj] )
- c:\\windows\\system32\\57.exe - Trojan.Win32.Menti.gnfq ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Fakealert.26395, NOD32: IRC/SdBot trojan, AVAST4: Win32:Downloader-FWH [Trj] )
- c:\\windows\\system32\\60.exe - Backdoor.Win32.Floder.hs ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Backdoor.Generic.677443, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\63.exe - Backdoor.Win32.Floder.hs ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Backdoor.Generic.677443, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Malware-gen )
Уважаемый(ая) stydent@gmail, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.