На флешке скрывает все файлы и создает их ярлыки. Чистил разными утилитами, но он опять появился, вся надежда на Вас.
На флешке скрывает все файлы и создает их ярлыки. Чистил разными утилитами, но он опять появился, вся надежда на Вас.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Алексей Саблин, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Windows\System32\d3dadapter.dll', ''); DeleteFile('C:\Windows\system32\DRIVERS\BDEnhanceBoost.sys', '32'); DeleteFile('C:\Windows\system32\DRIVERS\BDMNetMon.sys', '32'); DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench.sys', '32'); DeleteFile('C:\Windows\system32\DRIVERS\BdSandBox.sys', '32'); DeleteFile('C:\Windows\system32\Drivers\KAVBootC.sys', '32'); DeleteFile('C:\Windows\system32\drivers\KNBDrv.sys', '32'); DeleteFile('c:\program files\kingsoft\kingsoft antivirus\security\ksnetm\kisnetm.sys', '32'); DeleteFile('C:\Windows\system32\drivers\kisknl.sys', '32'); DeleteFile('C:\Windows\System32\d3dadapter.dll', '32'); DeleteService('KNBDrv'); DeleteService('kisnetm'); DeleteService('kisknl'); DeleteService('KDHacker'); DeleteService('bd0002'); DeleteService('bd0001'); DeleteService('BDEnhanceBoost'); DeleteService('kxescore'); DeleteService('knbcenter'); DelCLSID('{00890530-6A9F-4be2-B1BB-73F01E2BB986}'); DelCLSID('{11292110-6F8D-4D56-863C-44902A1E7880}'); DelCLSID('{754DF2CE-51E8-4895-B53C-6381418B84AE}'); DelCLSID('{D21D88E8-4123-48BA-B0B1-3FDBE4AE5FA4}'); DelCLSID('{CBDECEF7-7A29-4cbf-A009-2673D82C7BF9}'); DelCLSID('{63332668-8CE1-445D-A5EE-25929176714E}'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Windows Update Installer'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ QQPCTray', 'command'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BaiduAnTray', 'command'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\baidusdTray', 'command'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\kxesc', 'command'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved', '{D21D88E8-4123-48BA-B0B1-3FDBE4AE5FA4}'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteFile('C:\Windows\system32\DRIVERS\BDEnhanceBoost.sys'); BC_DeleteFile('C:\Windows\system32\DRIVERS\BDMNetMon.sys'); BC_DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench.sys'); BC_DeleteFile('C:\Windows\system32\DRIVERS\BdSandBox.sys'); BC_DeleteFile('C:\Windows\system32\Drivers\KAVBootC.sys'); BC_DeleteSvc('KAVBootC'); BC_DeleteSvc('BdSandBox'); BC_DeleteSvc('BDMNetMon'); BC_DeleteSvc('BDEnhanceBoost'); BC_DeleteSvc('kisknl'); BC_DeleteSvc('KNBDrv'); ExecuteRepair(3); BC_Activate; RebootWindows(true); end.
Выполните в AVZ скрипт:
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
WBR,
Vadim
Полный образ автозапуска uVS
Выполните скрипт в uVS:Компьютер перезагрузится.Код:;uVS v3.87 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c cexec tools\CreateRestorePoint.exe BeforeCure zoo %Sys32%\IHCTRL32.DLL zoo %Sys32%\THEMCTRL.DLL zoo %Sys32%\WBIOSRVP.DLL zoo %Sys32%\WSAUDIO.DLL delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CKCMDPMHIEKIIHMFJFFDEHHBHGLLPAPG\12.21_0\ULTIMATE DISCOUNTER delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\KCKNBENJNKKJKNPHMNIDANJIFBGPHJKE\4.18_0\THE SAFE SURFING zoo %Sys32%\BIOSYSRT.DLL uidel "C:\Users\User\AppData\Local\Amigo\Application\32.0.1709.113\Installer\setup.exe" --uninstall sreg delref %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUSD\3.0.0.4605\EXPLUGIN\NPBAIDUSDDETECTPLUG.DLL del %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUSD\3.0.0.4605\EXPLUGIN\NPBAIDUSDDETECTPLUG.DLL deldir %SystemDrive%\USERS\USER\APPDATA\LOCAL\KOMETA deldir %SystemDrive%\USERS\USER\APPDATA\LOCAL\AMIGO deldir %SystemDrive%\PROGRAM FILES\TENCENT delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\109\BDCOMPROXY.DLL del %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\109\BDCOMPROXY.DLL delref %Sys32%\DRIVERS\BD0004.SYS del %Sys32%\DRIVERS\BD0004.SYS delref %Sys32%\DRIVERS\BDFILEDEFEND.SYS del %Sys32%\DRIVERS\BDFILEDEFEND.SYS del %Sys32%\DRIVERS\KSAPI.SYS delref %Sys32%\DRIVERS\KSAPI.SYS delref %SystemDrive%\PROGRAM FILES\KINGSOFT\KINGSOFT ANTIVIRUS\KWANSVC.DLL delref %SystemDrive%\PROGRAM FILES\KINGSOFT\KINGSOFT ANTIVIRUS\NPKWS.DLL delref %Sys32%\DRIVERS\BD0001.SYS delref %Sys32%\DRIVERS\BD0002.SYS delref %Sys32%\DRIVERS\BDMWRENCH.SYS delref %Sys32%\DRIVERS\MBAMSWISSARMY.SYS delref %Sys32%\DRIVERS\RDVGKMD.SYS delref %SystemDrive%\PROGRA~1\AUSLOG~1\BOOSTS~1\DISKDO~1.DLL delref %SystemDrive%\PROGRAM FILES\KINGSOFT\KINGSOFT ANTIVIRUS\KOMSADD.DLL delref %SystemDrive%\PROGRAM FILES\KINGSOFT\KINGSOFT ANTIVIRUS\KWEATHERBAND.DLL delref %SystemDrive%\PROGRA~1\AUSLOG~1\BOOSTS~1\TASKMA~1.DLL delref %SystemDrive%\PROGRAM FILES\AUSLOGICS\BOOSTSPEED\RESCUECENTER.EXE delref %SystemDrive%\PROGRAM FILES\AUSLOGICS\BOOSTSPEED\BOOSTSPEED.EXE delref %SystemDrive%\PROGRAM FILES\AUSLOGICS\BOOSTSPEED\BOOSTSPEED.EXE deltmp czoo areg
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
Сообщите. что с проблемой.
WBR,
Vadim
На флешки больше не лезет ничего. Большое спасибо за помощь!
Дочистим остатки.
Выполните скрипт в uVS:Новый лог выполнения скрипта прикрепите к сообщению.Код:;uVS v3.87 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE cexec tools\CreateRestorePoint.exe BeforeCure ; C:\WINDOWS\SYSTEM32\IHCTRL32.DLL addsgn 79132211B9E9317E0AA1AB5997A11205DAFFF47DC4EA942D892B2942AF292811E11BC3EFAE749E59E82124E445061F9069816DB220DD082C2F77A4C4C13DE40E 14 TrojanDownloader.Stantinko.Related1 ; C:\WINDOWS\SYSTEM32\BIOSYSRT.DLL addsgn 79132211B9E9317E0AA1AB5916F01205DAFFF47DC4EA942D892B2942AF292811E11BC36C338D7F483BF5866C85FFA2C27DDF638D00515CA7ECFCE9270006D202 14 TrojanDownloader.Stantinko.Related ; C:\WINDOWS\SYSTEM32\THEMCTRL.DLL addsgn 79132211B9E9317E0AA1AB59C9A01205DAFFF47DC4EA942D892B2942AF292811E11BC3DCC10016A5C37EAA9F469D04F2F497FC2F963241022D772FE74C47361A 14 TrojanDownloader.Stantinko.related2 ; C:\WINDOWS\SYSTEM32\WBIOSRVP.DLL addsgn 79132211B9E9317E0AA1AB59B4B21205DAFFF47DC4EA942D892B2942AF292811E11BC3DCC10016A5AA6CAC9C4616EA3A3EDBF8FB5866F3283DFEB197840232FA 14 TrojanDownloader.Stantinko.related3 ; C:\WINDOWS\SYSTEM32\WSAUDIO.DLL addsgn 79132211B9E9317E0AA1AB591A961205DAFFF47DC4EA942D892B2942AF292811E11BC3DCC10016A5A8FD8C9F323BB68F75B5E88D60628E2B3D88B15F070532F6 14 TrojanDownloader.Stantinko.related4 chklst delvir restart
Сделайте лог сканирования МВАМ.
WBR,
Vadim
Лог mbam
Удалите в MBAM:Загрузите SecurityCheck by glax24 отсюда и сохраните на Рабочем столе.Код:PUP.Optional.Amigo, C:\AdwCleaner\Quarantine\C\Users\User\AppData\Local\Amigo\Application\32.0.1709.113\chrome.exe.vir, , [a3402f0c7821cc6aa4c8ac1db14f58a8], Trojan.Agent.BHO, C:\Users\User\AppData\Local\Microsoft\Internet Explorer\Extensions\APIHelper_64.dll, , [2cb7b28903966acc1a90b98d1de4619f],
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.
Приложите этот файл к своему следующему сообщению.
WBR,
Vadim
security check
Несмотря на многочисленные "полезные советы", UAC полезная вещь, нужно только реагировать адекватно на вопросы "Разрешить внесение изменений на данном компьютере следующей программе неизвестного издателя?". Многие вирусы при таких условиях не установятся в систему и не запустятся без уведомления.Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
"Правильная" пиратка, без патченных модулей ядра, обновляется без проблем.Загружать автоматически обновления и устанавливать по заданному расписанию
Дата установки обновлений: 2014-11-11 19:00:02
Центр обновления Windows (wuauserv) - Служба остановлена
Должен быть включён и настроен.Брандмауэр Windows (MpsSvc) - Служба остановлена
Обновите или удалите, в Silverlight весьма серьёзная уязвимость.Microsoft Silverlight v.5.1.30514.0 Внимание! Скачать обновления
Продукты Adobe и браузеры обязательно держать актуальных версий.Adobe Flash Player 20 NPAPI v.20.0.0.267 Внимание! Скачать обновления
Adobe Flash Player 20 PPAPI v.20.0.0.267 Внимание! Скачать обновления
Adobe Shockwave Player + Authorware Web Player v.v12.0.7.148 Внимание! Скачать обновления
Mozilla Firefox 43.0.1 (x86 ru) v.43.0.1 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Выполните рекомендации после лечения.
WBR,
Vadim
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 14
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\d3dadapter.dll - Trojan.Win32.Agent.iexm ( AVAST4: Win32:Trojan-gen )
Уважаемый(ая) Алексей Саблин, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
