Добрый день!
Найдено очень много вирусов, поэтому требуется качественная помощь в их удалении. Все необходимые логи прикрепил к данному сообщению.
Добрый день!
Найдено очень много вирусов, поэтому требуется качественная помощь в их удалении. Все необходимые логи прикрепил к данному сообщению.
Уважаемый(ая) Dmitry_Che, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте.
Обновите базы AVZ.
Если базы не обновляются через меню Файл - Обновление баз,
скачайте архив баз http://z-oleg.com/secur/avz_up/avzbase.zip
и распакуйте его в папку Base внутри папки AVZ, заменив имеющиеся файлы и перезапустите AVZ.
Удалите в МВАМ (как удалить):
Выполните скрипт в AVZ (как выполнить):Код:Обнаруженные ключи в реестре: 2 HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (Trojan.Agent) -> Действие не было предпринято. Обнаруженные параметры в реестре: 2 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|MSConfig (Backdoor.Agent.H) -> Параметры: C:\Documents and Settings\User\onwbww.exe \u -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Qieces (Trojan.Obfuscated) -> Параметры: C:\Documents and Settings\User\Application Data\Qieces.exe -> Действие не было предпринято.
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\WINDOWS\Temp\svchost.exe',''); QuarantineFile('C:\Documents and Settings\Крановы\Application Data\Zieceb.exe',''); QuarantineFile('C:\Documents and Settings\Крановы\Application Data\Qieces.exe',''); DeleteFile('C:\Documents and Settings\Крановы\Application Data\Qieces.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Qieces'); DeleteFile('C:\Documents and Settings\Крановы\Application Data\Zieceb.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Zieceb'); DeleteFile('C:\WINDOWS\Temp\svchost.exe'); QuarantineFile('C:\Documents and Settings\User\Application Data\Desktopicon\eBayShortcuts.exe',''); QuarantineFile('C:\Program Files\Unlocker\eBay_shortcuts_1016.exe',''); QuarantineFile('C:\Documents and Settings\User\onwbww.exe',''); DeleteFile('C:\Documents and Settings\User\onwbww.exe'); QuarantineFile('C:\WINDOWS\system32\secupdat.dat',''); DeleteFile('C:\WINDOWS\system32\secupdat.dat'); QuarantineFile('C:\Documents and Settings\User\Application Data\B.tmp',''); DeleteFile('C:\Documents and Settings\User\Application Data\B.tmp'); QuarantineFile('C:\Documents and Settings\User\Application Data\9.tmp',''); DeleteFile('C:\Documents and Settings\User\Application Data\9.tmp'); QuarantineFile('C:\Documents and Settings\User\Application Data\E.tmp',''); DeleteFile('C:\Documents and Settings\User\Application Data\E.tmp'); QuarantineFile('C:\Documents and Settings\User\Application Data\6.tmp',''); DeleteFile('C:\Documents and Settings\User\Application Data\6.tmp'); QuarantineFile('C:\WINDOWS\Temp\xC.exe',''); DeleteFile('C:\WINDOWS\Temp\xC.exe'); QuarantineFile('C:\WINDOWS\Temp\x30811.exe',''); DeleteFile('C:\WINDOWS\Temp\x30811.exe'); QuarantineFile('C:\WINDOWS\Temp\x11811.exe',''); DeleteFile('C:\WINDOWS\Temp\x11811.exe'); QuarantineFile('C:\WINDOWS\Temp\abc\mamita.exe',''); DeleteFile('C:\WINDOWS\Temp\abc\mamita.exe'); QuarantineFile('C:\setup.exe',''); DeleteFile('C:\setup.exe'); QuarantineFile('C:\WINDOWS\Temp\Winlogons.exe',''); DeleteFile('C:\WINDOWS\Temp\Winlogons.exe'); QuarantineFile('C:\Documents and Settings\User\Application Data\A.tmp',''); DeleteFile('C:\Documents and Settings\User\Application Data\A.tmp'); QuarantineFile('C:\Documents and Settings\User\Application Data\8.tmp',''); DeleteFile('C:\Documents and Settings\User\Application Data\8.tmp'); QuarantineFile('C:\Documents and Settings\User\Start Menu\Programs\Startup\stepx2.exe',''); DeleteFile('C:\Documents and Settings\User\Start Menu\Programs\Startup\stepx2.exe'); QuarantineFile('C:\WINDOWS\Temp\abcd\cgminer.exe',''); DeleteFile('C:\WINDOWS\Temp\abcd\cgminer.exe'); QuarantineFile('C:\Documents and Settings\User\Application Data\3.exe',''); DeleteFile('C:\Documents and Settings\User\Application Data\3.exe'); QuarantineFile('C:\WINDOWS\Temp\abc\hsbc.exe',''); DeleteFile('C:\WINDOWS\Temp\abc\hsbc.exe'); QuarantineFile('C:\Documents and Settings\User\Application Data\4.exe',''); DeleteFile('C:\Documents and Settings\User\Application Data\4.exe'); QuarantineFile('C:\Documents and Settings\User\Application Data\2.exe',''); DeleteFile('C:\Documents and Settings\User\Application Data\2.exe'); QuarantineFile('C:\WINDOWS\Temp\abc\hakonamatata.cmd',''); DeleteFile('C:\WINDOWS\Temp\abc\hakonamatata.cmd'); QuarantineFile('C:\Documents and Settings\User\Start Menu\Programs\Startup\hahahahaha.exe',''); DeleteFile('C:\Documents and Settings\User\Start Menu\Programs\Startup\hahahahaha.exe'); QuarantineFile('C:\Documents and Settings\User\Application Data\5.exe',''); DeleteFile('C:\Documents and Settings\User\Application Data\5.exe'); QuarantineFile('C:\Documents and Settings\User\Start Menu\Programs\Startup\xXx.exe',''); DeleteFile('C:\Documents and Settings\User\Start Menu\Programs\Startup\xXx.exe'); QuarantineFile('C:\Documents and Settings\User\Application Data\5.tmp',''); DeleteFile('C:\Documents and Settings\User\Application Data\5.tmp'); QuarantineFile('C:\Documents and Settings\User\Start Menu\Programs\Startup\taskmgrsx.exe',''); DeleteFile('C:\Documents and Settings\User\Start Menu\Programs\Startup\taskmgrsx.exe'); DeleteFileMask('C:\WINDOWS\Temp\abc','*.*', true); DeleteDirectory('C:\WINDOWS\Temp\abc'); ExecuteWizard('SCU',2,2,true); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); BC_Activate; RebootWindows(true); end.
После перезагрузки выполните скрипт в AVZ:
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".Код:begin CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end.
Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела Диагностика правил) и приложите в теме.
Сделайте заново лог MBAM:
http://virusinfo.info/showthread.php?t=53070
и приложите.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Все сделал. Прикрепляю их к письму. Часть вирусов удалено, но не все...
mbam-log-2012-03-08 (21-35-44).txt
virusinfo_syscheck.zip
hijackthis.log
P.S. Карантин файл - не присылается. Пишет, что такой файл уже был загружен. Посмотрел - он оказался пустым архивом.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\Крановы\Application Data\3.exe', 'MBAM: Trojan.BCMiner'); QuarantineFile('C:\Documents and Settings\Крановы\Application Data\5.exe', 'MBAM: Trojan.Dropper'); QuarantineFile('C:\Documents and Settings\Крановы\Application Data\5.tmp', 'MBAM: Trojan.Obfuscated'); QuarantineFile('C:\Documents and Settings\Крановы\Application Data\8.tmp', 'MBAM: Trojan.Agent.Gen'); QuarantineFile('C:\Documents and Settings\Крановы\Application Data\A.tmp', 'MBAM: Trojan.Agent.Gen'); QuarantineFile('C:\Documents and Settings\Крановы\Start Menu\Programs\Startup\hahahahaha.exe', 'MBAM: Trojan.Dropper'); QuarantineFile('C:\Documents and Settings\Крановы\Start Menu\Programs\Startup\stepx2.exe', 'MBAM: Trojan.BCMiner'); QuarantineFile('C:\Documents and Settings\Крановы\Start Menu\Programs\Startup\xXx.exe', 'MBAM: Trojan.Dropper'); QuarantineFile('C:\WINDOWS\Temp\abc\hakonamatata.cmd', 'MBAM: Trojan.Downloader'); QuarantineFile('C:\WINDOWS\Temp\abc\hsbc.exe', 'MBAM: Trojan.Downloader'); QuarantineFile('C:\Documents and Settings\Крановы\Application Data\2.exe', 'MBAM: Trojan.Downloader'); QuarantineFile('C:\Documents and Settings\Крановы\Application Data\4.exe', 'MBAM: Trojan.Downloader'); QuarantineFile('C:\setup.exe', 'MBAM: Trojan.Agent'); QuarantineFile('C:\WINDOWS\Temp\Winlogons.exe', 'MBAM: Trojan.Agent'); QuarantineFile('C:\WINDOWS\Temp\abcd\cgminer.exe', 'MBAM: Trojan.BCMiner'); DeleteFile('C:\Documents and Settings\Крановы\Application Data\3.exe'); DeleteFile('C:\Documents and Settings\Крановы\Application Data\5.exe'); DeleteFile('C:\Documents and Settings\Крановы\Application Data\5.tmp'); DeleteFile('C:\Documents and Settings\Крановы\Application Data\8.tmp'); DeleteFile('C:\Documents and Settings\Крановы\Application Data\A.tmp'); DeleteFile('C:\Documents and Settings\Крановы\Start Menu\Programs\Startup\hahahahaha.exe'); DeleteFile('C:\Documents and Settings\Крановы\Start Menu\Programs\Startup\stepx2.exe'); DeleteFile('C:\Documents and Settings\Крановы\Start Menu\Programs\Startup\xXx.exe'); DeleteFile('C:\Documents and Settings\Крановы\Application Data\2.exe'); DeleteFile('C:\Documents and Settings\Крановы\Application Data\4.exe'); DeleteFile('C:\WINDOWS\Temp\Winlogons.exe'); DeleteFile('C:\WINDOWS\Temp\abcd\cgminer.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Спасибо. Вирусов стало еще меньше =)
Но файл карантина не может быть создан, так как AVZ зависает (размер папки с карантином более 2,5 Гб). MBAM еще нашел несколько вирусов, их осталось не так много. Логи, какие смог сделать - прикрепляю к сообщению.
Здравствуйте!
Обновите базы AVZ !Внимание !!! База поcледний раз обновлялась 17.10.2011 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*', true); QuarantineFileF('C:\WINDOWS\Temp\abc','*', true,'',0 ,0); QuarantineFile('C:\WINDOWS\Temp\abc\hakonamatata.cmd',''); QuarantineFile('C:\WINDOWS\Temp\abc\hsbc.exe',''); DeleteFile('C:\WINDOWS\Temp\abc\hakonamatata.cmd'); DeleteFile('C:\WINDOWS\Temp\abc\hsbc.exe'); RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(1); RebootWindows(true); end.
После перезагрузки:
- Выполните в АВЗ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- повторите логи.
C:\setup.exe вам знаком?
Последний раз редактировалось regist; 10.03.2012 в 17:21.
Уважаемый(ая) Dmitry_Che, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.