Здравствуйте. Моя проблема заключается в том, что, после входа в интернет, у меня самопроизвольно начинают открываться китайские сайты в IE, помогите пожалуйста!!!
Здравствуйте. Моя проблема заключается в том, что, после входа в интернет, у меня самопроизвольно начинают открываться китайские сайты в IE, помогите пожалуйста!!!
Выполнить скрипт:
Прислать карантин по Правилам Приложение 3.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('WinHelp32'); DeleteService('WcsSrv'); QuarantineFile('C:\WINDOWS\system32\WinHelp32.exe',''); QuarantineFile('C:\Program Files\Common Files\Svc.exe',''); QuarantineFile('C:\WINDOWS\system32\QV013FMXCK\J001.exe',''); QuarantineFile('C:\WINDOWS\system32\QV013FMXCK\J002.exe',''); QuarantineFile('c:\windows\system32\xmhsv.ref',''); TerminateProcessByName('c:\windows\vfhyjh.exe'); QuarantineFile('c:\windows\vfhyjh.exe',''); QuarantineFile('c:\windows\atvxx.exe',''); TerminateProcessByName('c:\windows\atvxx.exe'); DeleteFile('c:\windows\atvxx.exe'); DeleteFile('c:\windows\vfhyjh.exe'); DeleteFile('C:\Program Files\Common Files\Svc.exe'); DeleteFile('C:\WINDOWS\system32\WinHelp32.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделать новые логи + лог Gmer.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Все равно открываются.
Код:
скопируйте в новый текстовый файл, сохраните его в той папке, где у Вас файл gmer.exe под именем 123.bat и запустите.Код:gmer.exe -del service gzrwlq gmer.exe -del service wricrbint gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gzrwlq" gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\wricrbint " gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\gzrwlq " gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\wricrbint" gmer.exe -del file "C:\WINDOWS\system32\ekzyq.dll" gmer.exe -reboot
После перезагрузки
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\atevxx.exe'); StopService('trtesm'); StopService('tgsno'); StopService('server this'); StopService('rfrr'); StopService('rf'); StopService('hpdj'); StopService('fdos'); StopService('evxx'); StopService('clos'); QuarantineFile('server this.sys',''); QuarantineFile('fdos.sys',''); QuarantineFile('clos.sys',''); QuarantineFile('clfdsfos.sys',''); QuarantineFile('C:\WINDOWS\system32\QV013FMXCK\J002.exe',''); QuarantineFile('C:\WINDOWS\system32\QV013FMXCK\J001.exe',''); QuarantineFile('C:\WINDOWS\Fonts\9756F147.DLL',''); QuarantineFile('C:\WINDOWS\Fonts\11E8A6B3.EXE',''); QuarantineFile('c:\windows\atevxx.exe',''); QuarantineFile('C:\DOCUME~1\АЛЕКСА~1\LOCALS~1\Temp\hpdj.exe',''); DeleteService('trtesm'); DeleteService('tgsno'); DeleteService('server this'); DeleteService('hpdj'); DeleteService('fdos'); DeleteService('evxx'); DeleteService('clfdsfos'); DeleteFile('C:\windows\system32\drivers\server this.sys'); DeleteFile('C:\windows\system32\drivers\fdos.sys'); DeleteFile('C:\windows\system32\drivers\clos.sys'); DeleteFile('C:\windows\system32\drivers\clfdsfos.sys'); DeleteFile('c:\windows\system32\xmhsv.ref'); DeleteFile('C:\WINDOWS\system32\QV013FMXCK\J002.exe'); DeleteFile('C:\WINDOWS\system32\QV013FMXCK\J001.exe'); DeleteFile('C:\WINDOWS\Fonts\9756F147.DLL'); DeleteFile('C:\WINDOWS\Fonts\11E8A6B3.EXE'); DeleteFile('c:\windows\atevxx.exe'); DeleteFile('C:\DOCUME~1\АЛЕКСА~1\LOCALS~1\Temp\hpdj.exe'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('trtesm'); BC_DeleteSvc('tgsno'); BC_DeleteSvc('server this'); BC_DeleteSvc('hpdj'); BC_DeleteSvc('fdos'); BC_DeleteSvc('evxx'); BC_DeleteSvc('clfdsfos'); BC_Activate; SetAVZPMStatus(True); RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте лог GMER
- Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
Последний раз редактировалось Rene-gad; 04.08.2009 в 20:01.
скопируйте в новый текстовый файл, сохраните его в той папке, где у Вас файл gmer.exe под именем 123.bat и запустите.
1. Запустить через gmer.exe?
2. Пропала вкладка восстановления системы.
1. Запустите через проводник.
Спасибо за информацию, не подскажете как вернуть вкладку "восстановление системы"
Последний раз редактировалось Rene-gad; 06.08.2009 в 10:31.
Сначала выполните уже выданные инструкции.
1. Я не смог отключить восстановление системы (пропала вкладка).
2. Не смог отключить файрвол (не удается отобразить параметры брандмаузера).
Папку C:\System Volume Information удалите вручную
Проведите курс лечения файловых вирусов: http://virusinfo.info/showthread.php?t=15927
Вы батник 123 запускали или просто сохранили? В той папке, где gmer.exe сохранили? ПК ребутнулся после запуска? Проверьте и повторите его запуск.
У меня такое ощущение, что он не отработал.
После перезагрузки:
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('clfdsfos'); StopService('clos'); StopService('trtesm'); StopService('fdos'); StopService('tgsno'); QuarantineFile('C:\WINDOWS\system32\trtesm.exe',''); QuarantineFile('C:\WINDOWS\system32\tgsno.exe',''); QuarantineFile('server this.sys',''); QuarantineFile('fdos.sys',''); QuarantineFile('clos.sys',''); QuarantineFile('clfdsfos.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\aidbyyn0.SYS',''); QuarantineFile('C:\DOCUME~1\АЛЕКСА~1\LOCALS~1\Temp\nnkagakj.sys',''); DeleteFile('C:\DOCUME~1\АЛЕКСА~1\LOCALS~1\Temp\nnkagakj.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\aidbyyn0.SYS'); DeleteFile('clfdsfos.sys'); DeleteFile('clos.sys'); DeleteFile('fdos.sys'); DeleteFile('server this.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\aidbyyn0.SYS'); DeleteFile('C:\WINDOWS\System32\Drivers\clfdsfos.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\clos.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\fdos.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\server this.sys'); DeleteFile('C:\WINDOWS\system32\tgsno.exe'); DeleteFile('C:\WINDOWS\system32\trtesm.exe'); DeleteService('clfdsfos'); DeleteService('clos'); DeleteService('fdos'); DeleteService('trtesm'); DeleteService('tgsno'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('clfdsfos'); BC_DeleteSvc('clos'); BC_DeleteSvc('fdos'); BC_DeleteSvc('trtesm'); BC_DeleteSvc('tgsno'); BC_Activate; SetAVZPMStatus(True); RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте лог GMER
- Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
Последний раз редактировалось Rene-gad; 06.08.2009 в 10:47.
вот
Код:
скопируйте в новый текстовый файл, сохраните его в той папке, где у Вас файл gmer.exe под именем 123.bat и запустите.Код:gmer.exe -del service gzrwlq gmer.exe -del service wricrbint gmer.exe -del file "C:\DOCUME~1\АЛЕКСА~1\LOCALS~1\Temp\nnkagakj.sys" gmer.exe -reboot
После перезагрузки:
- Обновите базы АВЗ: (Файл/Обновление баз)
- Очистите темп-папки, кэш проводников и корзину.
- Повторите логи по правилам + gmer.
Сайты уже не открываются, спасибо!
в gmer кнопка scan нажималась ?
еще раз
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
И запустите cleanup.batКод:gmer.exe -del service gzrwlq gmer.exe -del service wricrbint gmer.exe -del file "C:\WINDOWS\system32\ekzyq.dll" gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gzrwlq" gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\wricrbint" gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\gzrwlq" gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\wricrbint" gmer.exe -reboot
Компьютер перезагрузится
Сделать новый лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
е
В AVZ
если в карантине за сегодня что-то появится, то пришлите его..Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\winio.sys',''); DeleteFile('C:\WINDOWS\winio.sys'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
С gmer уже умеете обращаться. Перед запуском не забудьте отключиться от сети и выгрузить все защитное ПО
повторите лог gmer.Код:gmer.exe -del service gzrwlq gmer.exe -del service WINIO gmer.exe -del service wricrbint gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gzrwlq" gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\wricrbint" gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\gzrwlq" gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\wricrbint" gmer.exe -del file "C:\WINDOWS\system32\ekzyq.dll" gmer.exe -reboot
Качайте и устанавливайте SP3 (может потребоваться активация) + последующие обновления, иначе вы тут надолго...
Вот новый , качаю SP3
Уважаемый(ая) Александр Гольцов, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.