Доброго времени суток.
помогите завалить заразу.
файлы во вложении
Доброго времени суток.
помогите завалить заразу.
файлы во вложении
Уважаемый(ая) Maxspb, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Установите верную дату: у Вас уже апрель
Сделайте логи RSIT
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
с датой косяк - спасибо
лог сделал - во вложении
- Выполните в АВЗ:
Компьютер перезагрузитсяКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\plg.txt',''); QuarantineFile('C:\Documents and Settings\Пользователь\Главное меню\Программы\Автозагрузка\oaCKt5T4WFQ.exe',''); DeleteFile('C:\plg.txt'); DeleteFile('C:\Documents and Settings\Пользователь\Главное меню\Программы\Автозагрузка\oaCKt5T4WFQ.exe'); DeleteFile('AC14F68E.sys'); DeleteFile('B6844551.sys'); DeleteFile('BC2C1074.sys'); DeleteFile('C9014176.sys'); DeleteFile('CC4E3995.sys'); DeleteFile('D45351AA.sys'); DeleteFile('ICQ Service.sys'); DeleteFile('Guard.Mail.ru'); RegKeyParamWrite('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Lsa','notification packages','REG_MULTI_SZ','scecli'); DeleteService('aawservice'); DeleteService('AC14F68E'); DeleteService('B6844551'); DeleteService('BC2C1074'); DeleteService('C9014176'); DeleteService('CC4E3995'); DeleteService('D45351AA'); DeleteService('Guard.Mail.ru'); DeleteService('ICQ Service'); DeleteFileMask('C:\WINDOWS\system32','*.tmp',false); DeleteFileMask('C:\lTfyTmneTr8jBKK','*',true); DeleteFileMask('C:\Documents and Settings\Пользователь\Application Data\lTfyTmneTr8jBKK','*',true); DeleteFileMask('C:\XeJKRZCjZHda1Wt','*',true); DeleteFileMask('C:\Documents and Settings\Пользователь\Application Data\XeJKRZCjZHda1Wt','*',true); DeleteFileMask('C:\Documents and Settings\Пользователь\Application Data\4FnSMP139ux1CvU','*',true); DeleteFileMask('C:\Documents and Settings\Пользователь\Application Data\kFv3DjpT2zpA8Fo','*',true); DeleteDirectory('C:\lTfyTmneTr8jBKK'); DeleteDirectory('C:\Documents and Settings\Пользователь\Application Data\lTfyTmneTr8jBKK'); DeleteDirectory('C:\XeJKRZCjZHda1Wt'); DeleteDirectory('C:\Documents and Settings\Пользователь\Application Data\XeJKRZCjZHda1Wt'); DeleteDirectory('C:\Documents and Settings\Пользователь\Application Data\4FnSMP139ux1CvU'); DeleteDirectory('C:\Documents and Settings\Пользователь\Application Data\kFv3DjpT2zpA8Fo'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки:
- Выполните в АВЗ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Пофиксите в HijackThis:
Код:R3 - URLSearchHook: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file) O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file) O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O3 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
- Удалите ComboFix.
- Обновите базы АВЗ (АВЗ -> меню "Файл" -> "Обновление баз" -> "Пуск") и Повторите логи АВЗ и РСИТ.
здравствуйте, карантин отправил.
логи во вложении.
Вопрос - отключил WiFi, сделал первый лог AVZ
после перезагрузки не вижу свою сеть - все есть а моей нет,
проверил роутер - все нормально. с чем это может быть связано ?
Восстановите ассоциацию REG-файлов (скачайте и запустите)
Что с проблемами?
Ни с чем. Если другие сети видит - значит проблема с Вашей сетью. Еще раз проверьте настройки роутера, перезапустите его и проведите новый поиск сетей на своем компьютере.
доброго времени суток,
асоциацию востановил, новые логи во вложении.
По сети - непонятка, т.к. принес сегодня ноут с работы - сеть видит,
подключается все нормально, видимо вирус прогресирует,
давайте вылечим его сначала, а дальше уже на WiFi посмотрим.
Еще раз: wifi вообще не ловит сети или ловит все, кроме Вашей?
получается что так, перестал видеть родную сеть, чужие видит.
даже подключается к незащищенной, второй ноут все нормально - сеть видит и подключается ..
перезагружал роутер - не помогает.
папку с вирусом удалил - спасибо огромное.
Попробуйте название сети поменять.
доброго времени суток
месяц назад лечили заразу, а тут вдруг увидел опять папку на диске С.
и опять оно ((
не пойму толи заного поймал, толи в прошлый раз не долечили...
посмотрите пожалуйста новые логи во вложении.
сделал сразу лог RSIT
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Program Files\Common Files\Services\asfCP.i',''); QuarantineFile('C:\Documents and Settings\Пользователь\Application Data\dln.exe',''); DeleteFile('C:\Program Files\Common Files\Services\asfCP.i'); DeleteFile('C:\plg.txt'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\lanmanserver\Parameters','ServiceDll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\srvsvc.dll'); RebootWindows(true); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
доброго вечера,
архив выслал, логи во вложении
день добрый, во вложении.
так же антивирус нашел win32\bagle.FN в C:\System Volume Information\
то что нашел MBAM - удалить или пока оставить ?
- Удалите в MBAM:
Код:HKLM\SYSTEM\CurrentControlSet\Services\PmlTrkWks (Trojan.Agent.PE5) -> Действие не было предпринято. HKCR\CLSID\{1408E208-2AC1-42D3-9F10-78A5B36E05AC} (Trojan.BHO) -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{6D7B211A-88EA-490C-BAB9-3600D8D7C503} (Trojan.BHO) -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6D7B211A-88EA-490C-BAB9-3600D8D7C503} (Trojan.BHO) -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{92860A02-4D69-48C1-82D7-EF6B2C609502} (Trojan.BHO) -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{C1DE446A-8770-4621-9378-F1922C74A36C} (Trojan.BHO) -> Действие не было предпринято. C:\WINDOWS\system32\2052k.exe (Trojan.Agent.PE5) -> Действие не было предпринято. C:\Documents and Settings\Пользователь\Application Data\Sun\Java\Deployment\cache\6.0\48\6f71ac70-1bc92d9f (Trojan.Agent.PE5) -> Действие не было предпринято. C:\temp\3D.tmp (Trojan.Agent.PE5) -> Действие не было предпринято. C:\Documents and Settings\Пользователь\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято. C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.
Здравствуйте, новый лог во вложении.
На диске С: все еще присутствует папка с klpclst.dat
плюс антивирус не может обновиться - его переустановить ?
Уважаемый(ая) Maxspb, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.