Здравствуйте!
С флэшки был занесен вирус, после сканирования DeWeb CureIT вирус был удален, но теперь постоянно выскакивает сообщение "svchost.exe - Диск отсутствует".
Операционная система Windows 7 x64.
Здравствуйте!
С флэшки был занесен вирус, после сканирования DeWeb CureIT вирус был удален, но теперь постоянно выскакивает сообщение "svchost.exe - Диск отсутствует".
Операционная система Windows 7 x64.
Уважаемый(ая) Nickotoid, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Users\User\LOCALS~1\Temp\ccrlyt.bat',''); QuarantineFile('C:\Users\User\AppData\Roaming\Identities\Adsksk.exe',''); QuarantineFile('C:\Users\User\AppData\Local\Temp\Adobe\Reader_sl.exe',''); QuarantineFile('C:\Users\User\AppData\Roaming\Nesksx.exe',''); DeleteFile('C:\Users\User\AppData\Roaming\Nesksx.exe','32'); DeleteFile('C:\Users\User\AppData\Local\Temp\Adobe\Reader_sl.exe','32'); DeleteFile('C:\Users\User\AppData\Roaming\Identities\Adsksk.exe','32'); DeleteFile('C:\Users\User\LOCALS~1\Temp\ccrlyt.bat','32'); RegKeyParamDel('HKEY_USERS','S-1-5-21-1652105754-3113411722-3758637677-1001\Software\Microsoft\Windows\CurrentVersion\Run','Nesksx'); RegKeyParamDel('HKEY_USERS','S-1-5-21-1652105754-3113411722-3758637677-1001\Software\Microsoft\Windows\CurrentVersion\Run','Adobe System Incorporated'); RegKeyParamDel('HKEY_USERS','S-1-5-21-1652105754-3113411722-3758637677-1001\Software\Microsoft\Windows\CurrentVersion\Run','Adsksk'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteRepair(1); ExecuteRepair(11); ExecuteRepair(17); ExecuteWizard('SCU', 2, 3, true); ExecuteWizard('TSW',2,2,true); RebootWindows(true); end.
После перезагрузки:
- Выполните в АВЗ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Спасибо за ответ!
Повторные логи прикрепляю.
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Users\User\LOCALS~1\Temp\ccrlyt.bat',''); QuarantineFile('C:\Users\User\AppData\Roaming\Identities\Adsksk.exe',''); DeleteFile('C:\Users\User\AppData\Roaming\Identities\Adsksk.exe','32'); DeleteFile('C:\Users\User\LOCALS~1\Temp\ccrlyt.bat','32'); RegKeyParamDel('HKEY_USERS','S-1-5-21-1652105754-3113411722-3758637677-1001\Software\Microsoft\Windows\CurrentVersion\Run','Adsksk'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Новые логи.
Спасибо! При загрузке Windows уже перестал ругаться на диск.
Образ uVS прикрепляю.
вирусы пока остались
Выполните скрипт в uVS и пришлите карантин
после этого сделайте новый лог uVS следующим образомКод:;uVS v3.82.8 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 BREG delall %SystemDrive%\USERS\USER\LOCALS~1\TEMP\CCRLYT.BAT addsgn F2EC779A556A4C720BD4AEB164C81205258AFCF689FA1F7885C3C5BC50D6714C2317C3573E559D492B80849F461649FA7DDFE87255DAB02C2D77A42FC7062273 8 Worm.Win32.Palevo.hoek zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\C731200 zoo %Sys32%\CATROOT2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\CATDB bl D5EB21A342DB1DC0976B686ADDC38933 28319744 zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\EA8C.EXE bl 240E464158072DCD37174E8AB7C6DB46 189056 delref К№УГ№¤ЅЯЈ°°ПЦЪОДЈЮ\TECLAST.EXE delref E:\TECLASTSETUP.EXE czoo restart
- Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
- Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
- Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
Код:;uVS v3.82 script [http://dsrt.dyndns.org] adddir %SystemDrive%\USERS\USER\APPDATA\ROAMING crimg- В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
- Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
- После этого в папке с программой будет создан образ автозапуска название, которого имеет формат "имя_компьютера_дата_сканирования". Прикрепите этот образ к следующему сообщению
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Здравствуйте!
Вот новый образ uVS.
1) - Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
2) выполните скрипт и пришлите карантин
повторите лог uVS таким же образом.Код:;uVS v3.82.8 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 BREG addsgn F2EC779A556A4C720BD4AEB164C81205258AFCF689FA1F7885C3C5BC50D6714C2317C3573E559D492B80849F461649FA7DDFE87255DAB02C2D77A42FC7062273 8 P2P-Worm.Win32.Palevo.hoek [Kaspersky] zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\5F6D.EXE zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\5F2F.EXE bl 240E464158072DCD37174E8AB7C6DB46 189056 zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\87B5.EXE zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\EA8C.EXE zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\C731200 czoo restart
Новый образ uVS.
выполните скрипт uVS и пришлите карантин
пролечите систему с помощью AVPtoolКод:;uVS v3.82.8 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 BREG zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\5F2F.EXE bl 240E464158072DCD37174E8AB7C6DB46 189056 addsgn F2EC779A556A4C720BD4AEB164C81205258AFCF689FA1F7885C3C5BC50D6714C2317C3573E559D492B80849F461649FA7DDFE87255DAB02C2D77A42FC7062273 8 P2P-Worm.Win32.Palevo.hoek [Kaspersky] zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\5F6D.EXE zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\87B5.EXE zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\EA8C.EXE zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\C731200 chklst delvir czoo restart
новый образ автозапуска uVS сделайте.
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 15
- В ходе лечения обнаружены вредоносные программы:
- c:\users\user\appdata\local\temp\adobe\reader_sl.e xe - P2P-Worm.Win32.Palevo.hoek ( BitDefender: Trojan.Generic.11461285, AVAST4: Win32:Zbot-UFN [Trj] )
- c:\users\user\appdata\roaming\identities\adsksk.ex e - P2P-Worm.Win32.Palevo.hoek ( BitDefender: Trojan.Generic.11461285, AVAST4: Win32:Zbot-UFN [Trj] )
- \c731200._312506b03ee4b9c3ce223d6bd8da64de82e0ffc8 - P2P-Worm.Win32.Palevo.hoek ( BitDefender: Trojan.Generic.11461285, AVAST4: Win32:Zbot-UFN [Trj] )
- \ea8c.exe._312506b03ee4b9c3ce223d6bd8da64de82e0ffc 8 - P2P-Worm.Win32.Palevo.hoek ( BitDefender: Trojan.Generic.11461285, AVAST4: Win32:Zbot-UFN [Trj] )
- \5f2f.exe._312506b03ee4b9c3ce223d6bd8da64de82e0ffc 8 - P2P-Worm.Win32.Palevo.hoek ( BitDefender: Trojan.Generic.11461285, AVAST4: Win32:Zbot-UFN [Trj] )
- \5f6d.exe._312506b03ee4b9c3ce223d6bd8da64de82e0ffc 8 - P2P-Worm.Win32.Palevo.hoek ( BitDefender: Trojan.Generic.11461285, AVAST4: Win32:Zbot-UFN [Trj] )
- \87b5.exe._312506b03ee4b9c3ce223d6bd8da64de82e0ffc 8 - P2P-Worm.Win32.Palevo.hoek ( BitDefender: Trojan.Generic.11461285, AVAST4: Win32:Zbot-UFN [Trj] )
Уважаемый(ая) Nickotoid, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.