У меня вирус меняющий папки на ярлыки и блокирует обновление антивируса.
У меня вирус меняющий папки на ярлыки и блокирует обновление антивируса.
Уважаемый(ая) samanoski, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\88.exe',''); QuarantineFile('C:\WINDOWS\system32\75.exe',''); QuarantineFile('C:\WINDOWS\system32\42.exe',''); QuarantineFile('C:\WINDOWS\system32\38.exe',''); QuarantineFile('C:\WINDOWS\system32\37.exe',''); QuarantineFile('C:\WINDOWS\system32\36.exe',''); QuarantineFile('C:\WINDOWS\system32\14.exe',''); QuarantineFile('C:\WINDOWS\system32\12.exe',''); QuarantineFile('C:\WINDOWS\system32\04.exe',''); QuarantineFile('C:\WINDOWS\system32\02.exe',''); QuarantineFile('C:\WINDOWS\system32\01.exe',''); QuarantineFile('C:\Documents and Settings\IKT\Application Data\WORKGROU\regedit.exe',''); DeleteFile('C:\DOCUME~1\IKT\LOCALS~1\Temp\Adobe\Reader_sl.exe','32'); DeleteFile('C:\Documents and Settings\IKT\Application Data\Identities\Owjyjm.exe','32'); DeleteFile('C:\Documents and Settings\IKT\Application Data\WORKGROU\regedit.exe','32'); DeleteFile('C:\WINDOWS\system32\01.exe','32'); DeleteFile('C:\WINDOWS\system32\02.exe','32'); DeleteFile('C:\WINDOWS\system32\04.exe','32'); DeleteFile('C:\WINDOWS\system32\12.exe','32'); DeleteFile('C:\WINDOWS\system32\14.exe','32'); DeleteFile('C:\WINDOWS\system32\36.exe','32'); DeleteFile('C:\WINDOWS\system32\37.exe','32'); DeleteFile('C:\WINDOWS\system32\38.exe','32'); DeleteFile('C:\WINDOWS\system32\42.exe','32'); DeleteFile('C:\WINDOWS\system32\75.exe','32'); DeleteFile('C:\WINDOWS\system32\88.exe','32'); DelBHO('{09900DE8-1DCA-443F-9243-26FF581438AF}'); DelBHO('{5911488E-9D1E-40ec-8CBB-06B231CC153F}'); DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}'); DelBHO('{6E13D095-45C3-4271-9475-F3B48227DD9F}'); BC_ImportDeletedList; ExecuteSysClean; ExecuteWizard('SCU',2,2,true); BC_Activate; RebootWindows(true); end.
Выполните в AVZ скрипт:
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
WBR,
Vadim
проверку выполнил.
Отключите временно антивирус и выполните скрипт в AVZ:Выполните в AVZ скрипт:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1861771\17fdxjdhfc.exe',''); QuarantineFile('C:\Program Files\Common Files\CreativeAudio\cpcnmzzcg.exe',''); QuarantineFile('C:\Documents and Settings\IKT\Application Data\WORKGROU\twunk_32.exe',''); QuarantineFile('C:\Documents and Settings\IKT\Application Data\WORKGROU\HideWin.exe',''); QuarantineFile('C:\DOCUME~1\IKT\LOCALS~1\Temp\KB00980562.exe',''); QuarantineFile('C:\DOCUME~1\IKT\LOCALS~1\Temp\Adobe\Reader_sl.exe',''); QuarantineFile('C:\DOCUME~1\ALLUSE~1\mspjd.exe',''); DeleteFile('C:\DOCUME~1\ALLUSE~1\mspjd.exe','32'); DeleteFile('C:\DOCUME~1\IKT\LOCALS~1\Temp\Adobe\Reader_sl.exe','32'); DeleteFile('C:\DOCUME~1\IKT\LOCALS~1\Temp\KB00980562.exe','32'); DeleteFile('C:\Documents and Settings\IKT\Application Data\WORKGROU\HideWin.exe','32'); DeleteFile('C:\Documents and Settings\IKT\Application Data\WORKGROU\twunk_32.exe','32'); DeleteFile('C:\Program Files\Common Files\CreativeAudio\cpcnmzzcg.exe','32'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1861771\17fdxjdhfc.exe','32'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',3,3,true); ExecuteWizard('SCU',3,3,true); BC_Activate; RebootWindows(true); end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
WBR,
Vadim
вот полный образ автозагрузки uVS
Выполните скрипт в uVS:Компьютер перезагрузится.Код:;uVS v3.84.3 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v384c ; C:\DOCUMENTS AND SETTINGS\IKT\APPLICATION DATA\WORKGROU\SKYTEL.EXE addsgn 1AC04F9A5583348CF42BFB3A884BFE01ACF7007DF4F2943589022CBB36D99E8CC81F4EF31A559D492B10E29039112FF50298F8145AA5F70C4B78DB68F7602D0C 8 Backdoor.Win32.Androm.fgif [Kaspersky] ; C:\DOCUMENTS AND SETTINGS\IKT\APPLICATION DATA\IDENTITIES\RWJYJP.EXE addsgn 1A5B459A5583348CF42B254E3143FE8E60825F7A9D9C1F2546483AE9DB3AF0A00B14C3579FADC4082BB3411603EACA5FA523178D5589DA60A0F278D338F94873 8 Trojan.Win32.Yakes.gwgn [Kaspersky] ; C:\DOCUMENTS AND SETTINGS\IKT\LOCAL SETTINGS\TEMP\ADOBE\READER_SL.EXE chklst delvir delref %SystemDrive%\PROGRAM FILES\COMMON FILES\CREATIVEAUDIO\CPCNMZZCG.EXE deldir %SystemDrive%\DOCUMENTS AND SETTINGS\IKT\APPLICATION DATA\WORKGROU deldir %SystemDrive%\PROGRAM FILES\COMMON FILES\CREATIVEAUDIO delref HTTP://WWW.ASK.COM/?O=10148&L=DIS delref FLYYAY\OTPUSKET.EXE delref GHOSHA\TEXOP.EXE deltmp delref %SystemDrive%\PROGRAM FILES\STARTNOW TOOLBAR\TOOLBAR32.DLL delref E:\FAJAROA\USKASASK.EXE czoo restart
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Деинсталлируйте StartNow Toolbar и Ask Toolbar.
Сделайте новый полный образ автозапуска uVS.
WBR,
Vadim
вот образ, а архив ZOO_ не появился
Сделайте лог AdwCleaner (by Xplode).
WBR,
Vadim
Вот лог
Чисто.
Выполните скрипт в AVZ при наличии доступа в интернет:После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.Код:var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end.
Выполните рекомендации после лечения.
WBR,
Vadim
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 30
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\ikt\application data\workgrou\hidewin.exe - Backdoor.Win32.Androm.fgif ( BitDefender: Trojan.GenericKD.1947563, AVAST4: Win32:Dropper-gen [Drp] )
- c:\documents and settings\ikt\application data\workgrou\regedit.exe - Trojan.Win32.Yakes.gwgm ( BitDefender: Trojan.GenericKD.1945416, AVAST4: Win32:Malware-gen )
- c:\docume~1\alluse~1\mspjd.exe - Trojan.Win32.Yakes.gwws ( BitDefender: Trojan.GenericKD.1946287 )
- c:\docume~1\ikt\locals~1\temp\adobe\reader_sl.exe - Backdoor.Win32.Ruskill.zkb
- c:\program files\common files\creativeaudio\cpcnmzzcg.exe - Trojan.Win32.Yakes.gwwx ( BitDefender: Trojan.GenericKD.1946228, AVAST4: Win32:Dropper-gen [Drp] )
Уважаемый(ая) samanoski, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.