Здравствуйте, при проверке компа CureIt-ом он находит 4 вируса, причем проверив один раз и все вылечив, после перезагрузки опять находятся эти 4 файла.К теме скрин вирусов Вирусы.jpg
Здравствуйте, при проверке компа CureIt-ом он находит 4 вируса, причем проверив один раз и все вылечив, после перезагрузки опять находятся эти 4 файла.К теме скрин вирусов Вирусы.jpg
Последний раз редактировалось Роберт1996; 08.08.2014 в 23:54.
Уважаемый(ая) Роберт1996, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Users\Robert\AppData\Local\Temp\kusadtylds.exe',''); QuarantineFile('C:\Users\Robert\AppData\Local\Temp\Adobe\Reader_sl.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-3488854\k88ua.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-34881854\k88u1a.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-24560811\ehj2121.exe',''); QuarantineFile('C:\ProgramData\CreativeAudio\riaiccape.exe',''); QuarantineFile('C:\PROGRA~2\msgjwcdh.exe',''); DeleteFile('C:\PROGRA~2\msgjwcdh.exe','32'); DeleteFile('C:\ProgramData\CreativeAudio\riaiccape.exe','32'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-24560811\ehj2121.exe','32'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-34881854\k88u1a.exe','32'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-3488854\k88ua.exe','32'); DeleteFile('C:\Users\Robert\AppData\Local\Temp\Adobe\Reader_sl.exe','32'); DeleteFile('C:\Users\Robert\AppData\Local\Temp\kusadtylds.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Windows Update Check - 0x0E7302EC','32'); BC_ImportDeletedList; ExecuteSysClean; ExecuteRepair(9); ExecuteWizard('TSW',3,3,true); ExecuteWizard('SCU',2,2,true); BC_Activate; RebootWindows(true); end.
Выполните в AVZ скрипт:
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
WBR,
Vadim
Вот
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('c:\users\robert\appdata\local\temp\kb00405640.exe'); QuarantineFile('c:\users\robert\appdata\local\temp\kb00405640.exe',''); QuarantineFile('C:\Users\Robert\AppData\Local\Temp\kusadtylds.exe',''); QuarantineFile('C:\Users\Robert\AppData\Local\Temp\Adobe\Reader_sl.exe',''); QuarantineFile('C:\ProgramData\CreativeAudio\xsljqlonf.exe',''); QuarantineFile('C:\PROGRA~2\msgjwcdh.exe',''); DeleteFile('C:\PROGRA~2\msgjwcdh.exe','32'); DeleteFile('C:\ProgramData\CreativeAudio\xsljqlonf.exe','32'); DeleteFile('C:\Users\Robert\AppData\Local\Temp\kusadtylds.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Windows Update Check - 0x0E7302EC','32'); DeleteFile('c:\users\robert\appdata\local\temp\kb00405640.exe','32'); DeleteFile('C:\Users\Robert\appdata\local\temp\adobe\reader_sl.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','2966028676'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CreativeAudio'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Adobe System Incorporated'); BC_ImportALL; ExecuteSysClean; ExecuteRepair(9); ExecuteWizard('SCU', 2, 3, true); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- Выполните в АВЗ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
-
- Скачайте Universal Virus Sniffer (uVS)
- Извлеките uVS из архива или из zip-папки.
- Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
- Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
- Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
Код:;uVS v3.82 script [http://dsrt.dyndns.org] adddir %SystemDrive%\USERS\Robert\APPDATA\ROAMING crimg- В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
- Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
- После этого в папке с программой будет создан образ автозапуска название, которого имеет формат "имя_компьютера_дата_сканирования". Прикрепите этот образ к следующему сообщению
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
+ посмотрите, что находится в папке
Код:C:\ProgramData\CreativeAudio
Во время выполнения скрипта произошло вот это:1.jpg
А в ПрограмДате нашел rzsbkotiu.exe
Загрузите систему в безопасном режиме и повторите.
WBR,
Vadim
Готово
Выполните скрипт в uVS:Компьютер перезагрузится.Код:;uVS v3.83 BETA 13 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 ; C:\PROGRAMDATA\CREATIVEAUDIO\RZSBKOTIU.EXE addsgn 1A864A9A5583528CF42B831567C81271070914F2FDED9C9088B7C9F424D5428CE0AFC7533E555EF13984849F85AE4DF27DDF2BCA44DEB02CEEFC5B79908DD21B 32 Dropper/Win32.Necurs [AhnLab-V3] ; C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-398787854\K35877A1.EXE ; C:\PROGRAMDATA\MSGJWCDH.EXE ; C:\USERS\ROBERT\APPDATA\ROAMING\IDENTITIES\QZOYOO.EXE addsgn 1AE7379A5583528CF42B627DA89B448E61AEE4FD498F07F3C9E7D13714F2617FF1E032DCE6DED96D2777751495FD0871B554B4564151E4083DFCE00BCBD7CBA2 24 Dropper/Win32.Necurs.2 [AhnLab-V3] ; C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-3987267854\K354537A1.EXE ; C:\USERS\ROBERT\APPDATA\LOCAL\TEMP\ADOBE\READER_SL.EXE ; C:\USERS\ROBERT\APPDATA\ROAMING\24C6.EXE addsgn 1A3F539A5583528CF42B254E3143FE84C95AFEF6895B83AAC5C3F679D9938DC5A6F73EA8C1DC1095D67F7B16D3CEB405825675A6A8254FA598A759D0388F9FBF 16 Win32/Neurevt.B [ESET-NOD32] ; C:\USERS\ROBERT\APPDATA\ROAMING\27F3.EXE addsgn 1A17239A5583528CF42B254E3143FE84C95AFEF6895BFF9BC4C3F679D9938DC5A6F73EA8C1DC1095D67F7B16D3CEB405825675A6A8254FA598A759D0388F9FBF 8 Trojan.Betabot.3 [DrWeb] ; C:\USERS\ROBERT\APPDATA\ROAMING\2D41.EXE ; C:\USERS\ROBERT\APPDATA\ROAMING\3938.EXE ; C:\USERS\ROBERT\APPDATA\ROAMING\55EC.EXE ; C:\USERS\ROBERT\APPDATA\ROAMING\6B15.EXE addsgn 1AFC229A5583528CF42B254E3143FE84C95AFEF6895B9F13C4C3F679D9938DC5A6F73EA8C1DC1095D67F7B16D3CEB405825675A6A8254FA598A759D0388F9FBF 8 Trojan.Agent.ED [Malwarebytes] ; C:\USERS\ROBERT\APPDATA\ROAMING\7B91.EXE ; C:\USERS\ROBERT\APPDATA\ROAMING\967F.EXE ; C:\USERS\ROBERT\APPDATA\ROAMING\B3BC.EXE addsgn 1A62559A5583528CF42B254E3143FE56730189FE027CA37885C3F66707EDB2384C2A1B847E55E921A006349F461672390981D16A20803BAA9577A42FFCC55664 24 Backdoor.Win32.Androm.ervb [Kaspersky] ; C:\USERS\ROBERT\APPDATA\ROAMING\C465.EXE ; C:\USERS\ROBERT\APPDATA\ROAMING\C731200 ; C:\USERS\ROBERT\APPDATA\ROAMING\CE21.EXE ; C:\USERS\ROBERT\APPDATA\ROAMING\E482.EXE ; C:\USERS\ROBERT\APPDATA\ROAMING\F7E4.EXE ; C:\USERS\ROBERT\APPDATA\ROAMING\F9E.EXE chklst delvir delref CLHH.EXE deltmp delnfr restart
Сделайте полный образ автозапуска uVS, если не поместится во вложения, загрузите на rghost.ru и дайте ссылку в теме.
WBR,
Vadim
Выполните скрипт в uVS:После перезагрузки сделайте новый полный образ автозапуска uVS.Код:;uVS v3.83 BETA 13 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 adddir %SystemDrive%\USERS\Robert\APPDATA\ROAMING ; C:\PROGRAMDATA\MSGJWCDH.EXE addsgn 1A864A9A5583528CF42B831567C81271070914F2FDED9C9088B7C9F424D5428CE0AFC7533E555EF13984849F85AE4DF27DDF2BCA44DEB02CEEFC5B79908DD21B 32 Dropper/Win32.Necurs [AhnLab-V3] ;------------------------autoscript--------------------------- sreg chklst delvir delref OMYLCQKS.EXE delref %SystemDrive%\USERS\ROBERT\APPDATA\ROAMING\IDENTITIES\QZOYOO.EXE delref %SystemDrive%\PROGRAMDATA\CREATIVEAUDIO\RZSBKOTIU.EXE areg ;-------------------------------------------------------------
WBR,
Vadim
Ок, справились с заразой.
Деинсталлируйте Java(TM) 6 Update 17 и установите Java 7 Update 67.
Скачайте утилиту OTL by OldTimer. Запустите OTL.EXE, установите галочки в следующих пунктах настройки:
Scan All Users
Include 64Bit Scans - в случае 64-разрядной системы;
Output: Minimal Output;
File Scans: Use Company-Name WhiteList и Skip Microsoft Files;
Lop Check;
Purity Check.
В окне File Age установите 30 days
Остальные параметры оставьте по умолчанию.
Скопируйте текст
в окно Custom Scans/Fixes и нажмите Run Scan.Код:%USERPROFILE%\AppData\Local\*.url /S %USERPROFILE%\AppData\Local\*.lnk /S %PROGRAMFILES%\*.url /S %PROGRAMFILES%\*.lnk /S %ProgramFiles(x86)%\*.lnk /S %ProgramFiles(x86)%\*.url /S %CommonProgramFiles%\*.* %ALLUSERSPROFILE%\ntuser.pol %SystemRoot%\System32\GroupPolicy\Machine\Registry.pol
После окончания сканирования программа создаст два файла: OTL.TXT и EXTRAS.TXT, упакуйте их в архив ZIP или RAR и прикрепите их к своему следующему сообщению в теме.
WBR,
Vadim
Отправил
Запустите OTL (в Windows Vista/7/8 необходимо запускать через правую кнопку мыши от имени администратора), скопируйте скрипт ниже в окно Custom Scans/Fixes, закройте все браузеры и нажмите Run FixКомпьютер перезагрузится и откроет в блокноте лог выполнения скрипта, прикрепите его к своему следующему сообщению.Код::OTL [2014.08.06 16:42:11 | 000,122,880 | -HS- | C] (PortableApps.com) -- C:\ProgramData\msgjwcdh.exe [2014.08.06 15:35:28 | 000,000,000 | -HSD | C] -- C:\ProgramData\CreativeAudio :Commands [EMPTYTEMP] [purity] [Reboot]
WBR,
Vadim
Лог
Запустите OTL.EXE и нажмите Cleanup.
Выполните скрипт в AVZ при наличии доступа в интернет:После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.Код:var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end.
Выполните рекомендации после лечения.
WBR,
Vadim
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 19
- В ходе лечения обнаружены вредоносные программы:
- c:\programdata\creativeaudio\riaiccape.exe - Trojan-Downloader.Win32.Agent.hetf ( BitDefender: Trojan.GenericKD.1797616, AVAST4: Win32:Malware-gen )
- c:\programdata\creativeaudio\xsljqlonf.exe - Trojan-Downloader.Win32.Agent.heth
- c:\progra~2\msgjwcdh.exe - Trojan-Downloader.Win32.Agent.heth
- c:\progra~2\msgjwcdh.exe - Backdoor.Win32.Androm.ervb ( BitDefender: Gen:Variant.Zusy.101915 )
- c:\recycler\s-1-5-21-0243556031-888888379-781863308-24560811\ehj2121.exe - Worm.Win32.Hamweq.pnv ( BitDefender: Trojan.GenericKD.1797639 )
- c:\recycler\s-1-5-21-0243556031-888888379-781863308-34881854\k88u1a.exe - Worm.Win32.Hamweq.pnx ( BitDefender: Gen:Variant.Graftor.150644 )
- c:\recycler\s-1-5-21-0243556031-888888379-781863308-3488854\k88ua.exe - Worm.Win32.Hamweq.pnw ( BitDefender: Gen:Variant.Graftor.150644, AVAST4: Win32:Malware-gen )
- c:\users\robert\appdata\local\temp\adobe\reader_sl .exe - Trojan-Downloader.Win32.Agent.heth ( BitDefender: Trojan.GenericKD.1799171, AVAST4: Win32:Inject-BJC [Trj] )
Уважаемый(ая) Роберт1996, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.