товарищи
после загрузки ОС появляется сообщение о восстановлении zaberg
далее в процессах появляется aadrive32.exe и очень много .tmp процессов
надеюсь на вашу помощь
товарищи
после загрузки ОС появляется сообщение о восстановлении zaberg
далее в процессах появляется aadrive32.exe и очень много .tmp процессов
надеюсь на вашу помощь
Уважаемый(ая) gegyji9, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Компьютер перезагрузитсяКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\aadrive32.exe'); TerminateProcessByName('c:\users\1\appdata\roaming\456a.tmp'); TerminateProcessByName('c:\users\1\appdata\roaming\3d8d.tmp'); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe',''); QuarantineFile('C:\Users\1\AppData\lsass.exe',''); QuarantineFile('C:\Users\1\AppData\Roaming\Alouou.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe',''); QuarantineFile('c:\windows\aadrive32.exe',''); QuarantineFile('c:\users\1\appdata\roaming\456a.tmp',''); QuarantineFile('c:\users\1\appdata\roaming\3d8d.tmp',''); DeleteFile('c:\users\1\appdata\roaming\3d8d.tmp'); DeleteFile('c:\users\1\appdata\roaming\456a.tmp'); DeleteFileMask('C:\RECYCLER\', '*', true); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe'); DeleteFile('C:\Users\1\AppData\Roaming\Alouou.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe'); DeleteFile('c:\windows\aadrive32.exe'); DeleteFile('C:\Users\1\AppData\lsass.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Alouou'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','zaber0'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup'); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\System32\userinit.exe,'); BC_ImportALL; ExecuteSysClean; BC_DeleteFile('C:\Windows\aadrive32.exe'); BC_DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe'); BC_Activate; ExecuteRepair(16); ExecuteWizard('TSW',2,3,true); RebootWindows(true); end.
После перезагрузки:
- Выполните в АВЗ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Добавлено через 1 минуту
+ Сделайте лог полного сканирования МВАМ
+ Проведите процедуру, которая описана в первом сообщении тут. Результат загрузки напишите в сообщении здесь.
Добавлено через 18 секунд
+ Сделайте лог полного сканирования МВАМ
+ Проведите процедуру, которая описана в первом сообщении тут. Результат загрузки напишите в сообщении здесь.
Последний раз редактировалось regist; 27.01.2012 в 12:13. Причина: Добавлено
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 19
- В ходе лечения обнаружены вредоносные программы:
- c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1830\\zaberg.exe - Trojan.Win32.Inject.ctrj ( DrWEB: BackDoor.Siggen.637, BitDefender: Trojan.Inject.AFI, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:FakeAlert-BXP [Trj] )
- c:\\users\\1\\appdata\\roaming\\alouou.exe - P2P-Worm.Win32.Palevo.cpko ( DrWEB: Trojan.Inject.34179, BitDefender: Trojan.Generic.KDV.205306, NOD32: Win32/Dorkbot.A worm, AVAST4: Win32:Inject-AGC [Trj] )
- c:\\users\\1\\appdata\\roaming\\3d8d.tmp - Trojan.Win32.Menti.lhmw ( DrWEB: BackDoor.Siggen.637, BitDefender: Trojan.Fakealert.40161, AVAST4: Win32:FakeAlert-BWZ [Trj] )
- c:\\users\\1\\appdata\\roaming\\456a.tmp - Trojan.Win32.Jorik.Tedroo.nj ( DrWEB: Trojan.Spambot.10897, BitDefender: Trojan.Generic.7359196, AVAST4: Win32:Jorik-FG [Trj] )
- c:\\windows\\aadrive32.exe - Net-Worm.Win32.Kolab.bdlt ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Gen:Variant.Kazy.52790, AVAST4: Win32:FakeAlert-BWZ [Trj] )
Уважаемый(ая) gegyji9, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.