Просьба посмотреть логи
Просьба посмотреть логи
Уважаемый(ая) Egorik, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Пофиксите в HijackThis (как пофиксить):
Выполните скрипт в AVZ (как выполнить):Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\apppatch\lixixpd.exe, O4 - HKCU\..\Run: [userinit] C:\WINDOWS\apppatch\lixixpd.exe O4 - HKCU\..\Policies\Explorer\Run: [run] C:\WINDOWS\apppatch\lixixpd.exe O4 - Startup: SfWqEcFxStQ.exe
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('J:\setup.exe',''); QuarantineFile('J:\autorun.inf',''); QuarantineFile('C:\WINDOWS\apppatch\lixixpd.exe',''); QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\VSPE.sys',''); DeleteFile('C:\WINDOWS\apppatch\lixixpd.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userinit'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','System'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','run'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); BC_Activate; RebootWindows(true); end.
После перезагрузки выполните скрипт в AVZ:
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".Код:begin CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end.
Загрузитесь в безопасном режиме (как загрузиться).
Сделайте заново в безопасном режиме лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела Диагностика правил) и приложите в теме.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
В безопасном режиме загрузиться не смог, логи сделал в обычном
Выполните скрипт в AVZ (как выполнить):
Компьютер перезагрузится.Код:var StartupFolder:string; begin StartupFolder:= RegKeyStrParamRead('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders','Startup'); SearchRootkit(true, true); SetAVZGuardStatus(true); ClearQuarantine; QuarantineFile(StartupFolder + '\SfWqEcFxStQ.exe',''); DeleteFile(StartupFolder + '\SfWqEcFxStQ.exe'); BC_ImportAll; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
После перезагрузки выполните скрипт в AVZ:
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".Код:begin CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end.
Сделайте заново лог HijackThis (пункт 3 раздела Диагностика правил) и приложите в теме.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Сделал
Что с проблемой?
Добавлено через 39 секунд
В безопасном режиме загружается?
Последний раз редактировалось Nikkollo; 28.01.2012 в 13:25. Причина: Добавлено
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Проблема опять проявилась
в безопасном режиме не загружается - уходит в перезагрузку.
Сделайте логи RSIT
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
сделал
- Выполните в АВЗ:
Компьютер перезагрузитсяКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\a.txt',''); QuarantineFile('C:\plg.txt',''); QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Domino Web Access\GreenChristmasTree.exe',''); QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\C402icU9ItA.exe',''); QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\d5a4kl1od.exe',''); QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Temporary Internet Files\Content.IE5\3M8H43SR\files_load2[1].exe',''); QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\____991.exe',''); DeleteFile('C:\plg.txt'); DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\C402icU9ItA.exe'); DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\d5a4kl1od.exe'); DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Temporary Internet Files\Content.IE5\3M8H43SR\files_load2[1].exe'); DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\____991.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','files_load2[1].exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','____991.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Green Christmas Tree'); DeleteFileMask('C:\Documents and Settings\Admin\Application Data\9vO3wAguztYiHFe','*',true); DeleteFileMask('C:\9vO3wAguztYiHFe','*',true); DeleteFileMask('C:\cVd1vWcuENuz4Uk','*',true); DeleteFileMask('C:\Documents and Settings\Admin\Application Data\MicroST','*',true); DeleteFileMask('C:\AmHEv9Wh1XA6rXi','*',true); DeleteDirectory('C:\Documents and Settings\Admin\Application Data\9vO3wAguztYiHFe'); DeleteDirectory('C:\9vO3wAguztYiHFe'); DeleteDirectory('C:\cVd1vWcuENuz4Uk'); DeleteDirectory('C:\Documents and Settings\Admin\Application Data\MicroST'); DeleteDirectory('C:\AmHEv9Wh1XA6rXi'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки:
- Выполните в АВЗ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Файл C:\a.txt - знаком?
Повторите логи АВЗ и РСИТ.
Сделал
Файл C:\a.txt не знаком, в нем было:
1 248 93 51
1 192 83 33
удалил его
после лечения очень сильно тормозит клавиатура и мышь - задержка до 10 сек
- Выполните в АВЗ:
Компьютер перезагрузитсяКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\WINDOWS\AppPatch\lixixpd.exe',''); QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\1346.tmp',''); QuarantineFile('C:\Program Files\Glary Utilities\initialize.exe',''); QuarantineFile('C:\systemhost\24FC2AE31AC.exe',''); QuarantineFile('c:\windows\whiskas.scr',''); DeleteFile('C:\WINDOWS\AppPatch\lixixpd.exe'); DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\1346.tmp'); DeleteFile('C:\systemhost\24FC2AE31AC.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Bluetooth Connection Assistant'); RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\Documents and Settings\Admin\Local Settings\Temp\1346.tmp'); RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\AppPatch\lixixpd.exe'); DeleteFileMask('C:\systemhost','*',true); DeleteDirectory('C:\systemhost'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки:
- Выполните в АВЗ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
c:\windows\whiskas.scr - знакомо?
Сделайте лог полного сканирования MBAM.
Сделайте лог TDSSKiller
Сделал.
c:\windows\whiskas.scr - это заставка для рабочего стола с котенком, жена скачала в интернете давно.
мышь и клава больше не тормозят
Удалите в MBAM:
Логи MBAM и РСИТ повторите.Код:C:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\40\2a3ba328-58efef63 (Trojan.Agent.PE5) -> Действие не было предпринято. C:\Documents and Settings\Admin\Local Settings\Temp\3D57.tmp (Trojan.Agent.PE5) -> Действие не было предпринято. c:\documents and settings\admin\главное меню\программы\автозагрузка\6ea6nrs8.exe (Spyware.Zbot.ES) -> Действие не было предпринято. Z:\Soft\Лекарства\avz4\avz4\Quarantine\2012-01-28\avz00001.dta (Trojan.Agent.PE5) -> Действие не было предпринято. Z:\Soft\Лекарства\avz4\avz4\Quarantine\2012-01-28\bcqr00001.dat (Trojan.Agent.PE5) -> Действие не было предпринято. Z:\Soft\Лекарства\avz4\avz4\Quarantine\2012-01-28\bcqr00002.dat (Trojan.Agent.PE5) -> Действие не было предпринято. Z:\Soft\Лекарства\Новая папка\backups\backup-20120126-234909-965-SfWqEcFxStQ.exe (Trojan.Agent.PE5) -> Действие не было предпринято. C:\Documents and Settings\Admin\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято. C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.
сделал
- Выполните в АВЗ:
Компьютер перезагрузитсяКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\dmgr134.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\4087deff.sys',''); DeleteFile('C:\WINDOWS\dmgr134.sys'); DeleteService('dmgr134'); DeleteFileMask('C:\WINDOWS\system32\lowsec','*',true); DeleteDirectory('C:\WINDOWS\system32\lowsec'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки:
- Выполните в АВЗ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Что с проблемами?
Повторите РСИТ.
Готово
Проблема вроде не проявляется больше
Опять выскочил блокиратор, требует пополнтьб счет чужого мобильного
прошел kaspersky rescue cd,
просьба посмотреть не осталось ли заразы
- Выполните в АВЗ:
Компьютер перезагрузитсяКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\abwWyRx0I48.exe',''); QuarantineFile('C:\WINDOWS\system32\uhjprbc.dll',''); DeleteFile('C:\WINDOWS\system32\uhjprbc.dll'); DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\abwWyRx0I48.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки:
- Выполните в АВЗ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Повторите логи АВЗ.
- Сделайте лог RSIT.
Уважаемый(ая) Egorik, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.