1078030629 не могу убить

**Powl** · 15.08.2011, 01:50

В процессах - 1078030629:3666788031.exe
В папке Windows файл 1078030629 размером 0.
avptool только начинает проверку, закрывается.
avz - при лечении в конце тоже вырубается, логи не успевает создать.
HijackThis.exe - при запуске сразу закрывается.
ProcessExplorer - не открывается.
Утилита autoruns.exe - не открывается.
Антивирусник НОД пишет, как то так, что не может связаться с ядром
удинственно, авз помещает что-то в карантин, что и прикрепляю.
malwarebytes - после запуска - вырубается.
Да, и это все происходит в безопасном режиме.
Что можно сделать?

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 15.08.2011, 01:57

Уважаемый(ая) Powl, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Techno** · 15.08.2011, 11:19

- Выполните в АВЗ:

Код:

begin
 BC_DeleteFile('c:\windows\1078030629:3666788031.exe');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится

Файл virusinfo_cure.zip‎, который Вы прикрепили к теме загрузите по ссылке "Прислать запрошенный карантин" вверху темы, а из темы удалите.

Попробуйте сделайте логи по правилам (раздел диагностика п.1-3)

**Powl** · 16.08.2011, 00:23

скрипт выполняется, пишет, что без ошибок, но после перезагрузки - то же самое.
не знаю как, но один лог получился. Может, можно еще что-то сделать?

**Techno** · 16.08.2011, 00:36

Сообщение от Powl

Может, можно еще что-то сделать?

Конечно можно

Мы еще и не начинали ничего делать

- Выполните в АВЗ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('c:\windows\1078030629:3666788031.exe:$DATA','');
 QuarantineFile('c:\windows\1078030629:3666788031.exe','');
 QuarantineFile('C:\WINDOWS\system32\AegisE5.dll','');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 BC_DeleteFile('c:\windows\1078030629:3666788031.exe:$DATA');
 BC_DeleteFile('c:\windows\1078030629:3666788031.exe');
BC_Activate;
 ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- отключите восстановление системы и попробуйте сделать все необходимые по правилам (раздел диагностика п.1-3)

**Powl** · 17.08.2011, 00:38

Да, вроде помогло. Карантин выслал. Что же это было? Логи прикрепляю.
Нод пишет все равно, что нет связи с ядром. Удалил его. сейчас поставлю заново.
в сервисах еще была служба 25714140 с ссылкой на этот файл

**thyrex** · 17.08.2011, 01:10

Сделайте лог полного сканирования МВАМ

**Powl** · 17.08.2011, 09:45

Вот, прикрепляю лог. Наверное, 1 и 4 нужно удалить.

**thyrex** · 17.08.2011, 10:27

Удалите в МВАМ только указанные строки

Код:

Зараженные ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6D125299-C2A9-4DBC-BEC3-6F7124E39A41} (Adware.FieryAds) -> No action taken.

Зараженные папки:
c:\documents and settings\User1\application data\FieryAds (Adware.FieryAds) -> No action taken.

**CyberHelper** · 18.08.2011, 10:27

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 3
В ходе лечения обнаружены вредоносные программы:
1. c:\\windows\\1078030629:3666788031.exe - Backdoor.Win32.ZAccess.ob ( DrWEB: BackDoor.Maxplus.24, BitDefender: Trojan.Generic.6454905, NOD32: Win32/Sirefef.CT trojan, AVAST4: Win32:Tiny-AMB [Rtk] )
2. c:\\windows\\1078030629:3666788031.exe:$data - Backdoor.Win32.ZAccess.ob ( DrWEB: BackDoor.Maxplus.24, BitDefender: Trojan.Generic.6454905, NOD32: Win32/Sirefef.CT trojan, AVAST4: Win32:Tiny-AMB [Rtk] )