Добрый день!
Подозрение на вирусы. Симптомы - не открываются многие системные программы (принтеры и печати, другие настройки), не открываются большенства веб сайтов, непонятные процессы в диспетчере задач, не работает печать на подключенный принтер.
Спасибо!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) mpbakunov, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\system32\e6542f\8b6f86.exe'); QuarantineFile('C:\DOCUME~1\АДМИН\LOCALS~1\Temp\E_N4\dp1.fne', ''); QuarantineFile('C:\DOCUME~1\АДМИН\LOCALS~1\Temp\E_N4\eAPI.fne', ''); QuarantineFile('C:\DOCUME~1\АДМИН\LOCALS~1\Temp\E_N4\HtmlView.fne', ''); QuarantineFile('C:\DOCUME~1\АДМИН\LOCALS~1\Temp\E_N4\internet.fne', ''); QuarantineFile('C:\DOCUME~1\АДМИН\LOCALS~1\Temp\E_N4\krnln.fnr', ''); QuarantineFile('C:\DOCUME~1\АДМИН\LOCALS~1\Temp\E_N4\shell.fne', ''); QuarantineFile('c:\windows\system32\e6542f\8b6f86.exe', ''); QuarantineFileF('c:\windows\system32\e6542f', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0); DeleteFile('C:\DOCUME~1\АДМИН\LOCALS~1\Temp\E_N4\dp1.fne', ''); DeleteFile('C:\DOCUME~1\АДМИН\LOCALS~1\Temp\E_N4\eAPI.fne', ''); DeleteFile('C:\DOCUME~1\АДМИН\LOCALS~1\Temp\E_N4\HtmlView.fne', ''); DeleteFile('C:\DOCUME~1\АДМИН\LOCALS~1\Temp\E_N4\internet.fne', ''); DeleteFile('C:\DOCUME~1\АДМИН\LOCALS~1\Temp\E_N4\krnln.fnr', ''); DeleteFile('C:\DOCUME~1\АДМИН\LOCALS~1\Temp\E_N4\shell.fne', ''); DeleteFile('c:\windows\system32\e6542f\8b6f86.exe', ''); DeleteFile('C:\WINDOWS\system32\E6542F\8B6F86.EXE', '32'); DeleteFileMask('c:\windows\system32\e6542f', '*', true); DeleteDirectory('c:\windows\system32\e6542f'); BC_ImportALL; ExecuteSysClean; ExecuteWizard('SCU', 3, 3, true); ExecuteWizard('TSW', 2, 2, true); BC_Activate; RebootWindows(true); end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".Отчёт о работе прикрепите.Код:>>> [HTTP] "C:\Documents and Settings\админ\Application Data\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk" -> ["C:\Program Files\Mozilla Firefox\firefox.exe" =>> hxxp://yanbex.pw]
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
WBR,
Vadim
Добрый день!
Сделал как Вы написали. После окончания работы AVZ и перезагрузки компьютера архив quarantine.zip не создался, создаласть папка Quarantine. Поэтому высылаю остальные логи согласно инструкции.
Спасибо!
Даже Windows XP SP3 крайне уязвима к зловредам, а уж этот антиквариат...Microsoft Windows XP Professional Service Pack 2 (X86) (2008-04-09 12:14:09)
Загрузите систему в безопасном режиме.
Выделите и скопируйте в буфер обмена следующий код:Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.Код:Start:: CreateRestorePoint: CloseProcesses: () [File not signed] C:\WINDOWS\System32\E6542F\8B6F86.EXE HKLM\...\Run: [8B6F86] => C:\WINDOWS\system32\E6542F\8B6F86.EXE [1408800 2011-01-24] () [File not signed] HKU\S-1-5-21-1645522239-746137067-839522115-1003\...\MountPoints2: {48a1f8fa-0633-11dd-a080-001d7d996b33} - F:\n1deiect.com HKU\S-1-5-21-1645522239-746137067-839522115-1003\...\MountPoints2: {5bee611e-67b7-11de-a1d8-001d7d996b33} - F:\ HKU\S-1-5-21-1645522239-746137067-839522115-1003\...\MountPoints2: {699ee0d6-f3d4-11e4-a814-001d7d996b33} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycle.exe HKU\S-1-5-21-1645522239-746137067-839522115-1003\...\MountPoints2: {de4663f6-23bc-11e0-a37b-001d7d996b33} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycle.exe C:\WINDOWS\System32\E6542F\8B6F86.EXE C:\WINDOWS\System32\E6542F 2019-12-02 18:49 - 2019-12-03 17:26 - 000114688 _____ () [File not signed] C:\Documents and Settings\User01\Local Settings\Temp\E_N4\dp1.fne 2019-12-02 18:49 - 2019-12-03 17:26 - 000323584 _____ () [File not signed] C:\Documents and Settings\User01\Local Settings\Temp\E_N4\eAPI.fne 2019-12-02 18:49 - 2019-12-03 17:26 - 000217088 _____ () [File not signed] C:\Documents and Settings\User01\Local Settings\Temp\E_N4\HtmlView.fne 2019-12-02 18:49 - 2019-12-03 17:26 - 001101824 _____ () [File not signed] C:\Documents and Settings\User01\Local Settings\Temp\E_N4\krnln.fnr 2019-12-02 18:49 - 2019-12-03 17:26 - 000040960 _____ () [File not signed] C:\Documents and Settings\User01\Local Settings\Temp\E_N4\shell.fne C:\Documents and Settings\User01\Local Settings\Temp\E_N4 Folder: C:\000 HKLM\...\batfile\DefaultIcon: %SystemRoot%\System32\shell32.dll,-153 <==== ATTENTION Reboot: End::
Компьютер будет перезагружен автоматически.
WBR,
Vadim
Готово!!!
Спасибо. Уже не появляются окна с ошибкой при записи и начали открываться окна "Принтеры и Факсы", а также сайты.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Надо обновлять систему до SP3 + дальнейшие, это дыра на дыре, лет 8 такая древность не попадалась.
Или добавить памяти, и 7-ку ставить.
WBR,
Vadim
Ваши права в разделе
Ответить с цитированием
