Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
WBR,
Vadim
При повторной проверке AVZ с помощью устранения проблем "подмена диспетчера задач" была устранена.
В приложении полный образ автозапуска uVS
Выполните скрипт в uVS:Компьютер перезагрузится.Код:;uVS v3.85.3 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c ; C:\DOCUMENTS AND SETTINGS\LOCALSERVICE.NT AUTHORITY\APPLICATION DATA\UPDATE\MSUPDATE.EXE addsgn 1AA3359A5583348CF42B627DA804DEC9E946307DCDDE17F3C9E7D5B7985D3D682F62CADC7A7199BECA42949F15E1A871A554AC565D2DD40839747CA483222A84 8 Backdoor.Win32.Androm.fzqr [Kaspersky] ; C:\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\UPDATE\MSUPDATE.EXE addsgn 1A116B9A5583348CF42B254E3143FE53DABF9008C9FA944DC56285BCAF00F48C5736623FC0159DCAD37FF08816E97C96839FE88D832560A9ED03ACA447FE2373 8 Trojan.Win32.Bublik.cvwu [Kaspersky] delall %Sys32%\SVCHOST.EXE:EXE.EXE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\LOCALSERVICE.NT AUTHORITY\APPLICATION DATA\UPDATE\MSUPDATE.EXE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\UPDATE\MSUPDATE.EXE delref %Sys32%\IEIY3YDB9YO3R.EXE delref %Sys32%\AMVO.EXE chklst delvir deltmp delref %Sys32%\DRIVERS\ZHNINNQX.SYS delref %SystemDrive%\DOCUMENTS AND SETTINGS\ДОМ\APPLICATION DATA\UPDATE\MSUPDATE.EXE delref UTHORITY\APPLICATION DATA\UPDATE\MSUPDATE.EXE czoo restart
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Сделайте новый полный образ автозапуска uVS, если не влезет во вложения - загрузите на rghost.ru и дайте ссылку в теме.
WBR,
Vadim
Архива ZOO не было, была папка ZOO, которая была за архивирована и отправлена.
Ссылка на образ http://rghost.ru/60508244
Чисто.
Выполните скрипт в AVZ при наличии доступа в интернет:После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.Код:var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end.
Выполните рекомендации после лечения.
WBR,
Vadim
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 38
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\дом\application data\c731200 - Worm.Win32.Ngrbot.akwt ( AVAST4: Win32:Ransom-AVK [Trj] )
- c:\documents and settings\дом\application data\microsoft\windows\mgagas.exe - Worm.Win32.Ngrbot.aktc ( AVAST4: Win32:Malware-gen )
- c:\documents and settings\дом\application data\update\explorer.exe - Worm.Win32.Ngrbot.akwt ( AVAST4: Win32:Ransom-AVK [Trj] )
- c:\documents and settings\дом\application data\update\msupdate.exe - Backdoor.Win32.Androm.fzqr ( AVAST4: Win32:CryptoWall-I [Trj] )
- c:\documents and settings\дом\application data\update\swpxdxhamv.exe - HEUR:Trojan.Win32.Generic ( AVAST4: Win32:Dropper-gen [Drp] )
- c:\ecfpyqehh\s-1-5-21-0243556031-888888379-781862338-186176712\dv54rhbn8r.exe - Trojan-Dropper.Win32.Dycler.thl ( AVAST4: Win32:CryptoWall-J [Trj] )
- c:\ecfpyqehh\s-1-5-21-0243556031-888888379-781862338-186176712\dv54rh7bn8r.exe - Trojan-Dropper.Win32.Dycler.thk ( AVAST4: Win32:CryptoWall-J [Trj] )
- c:\ecfpyqehh\s-1-5-21-0243556031-888888379-781862338-1861771\hiexls89.exe - Trojan-Dropper.Win32.Dycler.thm ( AVAST4: Win32:CryptoWall-J [Trj] )
- c:\ecfpyqehh\s-1-5-21-0243556031-888888379-781862338-1861771\winsds2.exe - Trojan-Dropper.Win32.Dycler.the ( AVAST4: Win32:CryptoWall-J [Trj] )
- c:\ecfpyqehh\s-1-5-21-0243556031-888888379-781862338-1861771\winsds3.exe - Trojan-Dropper.Win32.Dycler.thf ( AVAST4: Win32:CryptoWall-J [Trj] )
- c:\ecfpyqehh\s-1-5-21-0243556031-888888379-781862338-1861771\winsds4.exe - Trojan-Dropper.Win32.Dycler.thh ( AVAST4: Win32:CryptoWall-J [Trj] )
- c:\ecfpyqehh\s-1-5-21-0243556031-888888379-781862338-1861771\winsds5.exe - Trojan-Dropper.Win32.Dycler.thd ( AVAST4: Win32:CryptoWall-J [Trj] )
- c:\ecfpyqehh\s-1-5-21-0243556031-888888379-781862338-1861771\winsds6.exe - Trojan-Dropper.Win32.Dycler.thg ( AVAST4: Win32:CryptoWall-J [Trj] )
- c:\ecfpyqehh\s-1-5-21-0243556031-888888379-781862338-1861771\winsds7.exe - Trojan-Dropper.Win32.Dycler.thb ( AVAST4: Win32:CryptoWall-J [Trj] )
- \zoo\msupdate.exe._d781f1d3ee915587dff62537a23d868 45a408924 - Backdoor.Win32.Androm.fzqr ( AVAST4: Win32:CryptoWall-I [Trj] )
- \zoo\msupdate.exe._1ac310723b14789c236ffaf8babf2fb 18e01462a - Trojan.Win32.Bublik.cvwu ( DrWEB: Trojan.Packed.29370, AVAST4: Win32:Dropper-gen [Drp] )
Уважаемый(ая) Swaak, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.