как-то плохо стал работать ноут.
тормозил сильно + ваш сайт не открывался
сейчас после проверки каспером сайт открывается нормально
но все же думаю, что вирусы остались
как-то плохо стал работать ноут.
тормозил сильно + ваш сайт не открывался
сейчас после проверки каспером сайт открывается нормально
но все же думаю, что вирусы остались
Отключите восстановление системы!
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:R3 - URLSearchHook: (no name) - - (no file) O4 - HKLM\..\Run: [Tulkarm] C:\DOCUME~1\1747~1\LOCALS~1\Temp\gsf2\lsass.exe O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe O4 - HKLM\..\Run: [Microsoft] taskmaneger.exe O4 - HKLM\..\Run: [Windows Norman01 Service] norman32.exe O4 - HKLM\..\Run: [Intel i386] C:\DOCUME~1\1747~1\LOCALS~1\Temp\gsf150\intel.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [ISPSERVICE] C:\DOCUME~1\1747~1\LOCALS~1\Temp\psycho.exe O4 - HKLM\..\RunServices: [Microsoft] taskmaneger.exe O4 - HKLM\..\RunServices: [Windows Norman01 Service] norman32.exe
Компьютер перезагрузится.Код:begin SetAVZPMStatus(True); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\regedit.exe',''); QuarantineFile('C:\WINDOWS\System32\taskmaneger.exe',''); QuarantineFile('C:\WINDOWS\System32\norman32.exe',''); QuarantineFile('C:\DOCUME~1\1747~1\LOCALS~1\Temp\systemac.dll',''); QuarantineFile('C:\DOCUME~1\1747~1\LOCALS~1\Temp\psycho.exe',''); QuarantineFile('C:\DOCUME~1\1747~1\LOCALS~1\Temp\gsf2\systemac.dll',''); QuarantineFile('C:\DOCUME~1\1747~1\LOCALS~1\Temp\gsf2\lsass.exe',''); QuarantineFile('C:\DOCUME~1\1747~1\LOCALS~1\Temp\gsf150\systemac.dll',''); QuarantineFile('C:\DOCUME~1\1747~1\LOCALS~1\Temp\gsf150\intel.exe',''); DeleteFile('C:\DOCUME~1\1747~1\LOCALS~1\Temp\gsf150\intel.exe'); DeleteFile('C:\DOCUME~1\1747~1\LOCALS~1\Temp\gsf150\systemac.dll'); DeleteFile('C:\DOCUME~1\1747~1\LOCALS~1\Temp\gsf2\lsass.exe'); DeleteFile('C:\DOCUME~1\1747~1\LOCALS~1\Temp\gsf2\systemac.dll'); DeleteFile('C:\DOCUME~1\1747~1\LOCALS~1\Temp\psycho.exe'); DeleteFile('C:\DOCUME~1\1747~1\LOCALS~1\Temp\systemac.dll'); DeleteFile('C:\WINDOWS\System32\norman32.exe'); DeleteFile('C:\WINDOWS\System32\taskmaneger.exe'); DeleteFile('C:\WINDOWS\system32\regedit.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RegKeyResetSecurity( 'HKLM', 'SYSTEM\CurrentControlSet\Services\ngzitgi'); SetAVZPMStatus(True); RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=53426).
Сделайте новые логи.
I am not young enough to know everything...
сделал новые логи
файл выслал
Уже намного лучше, но это еще не все.
Сделайте такой лог:
http://virusinfo.info/showthread.php?t=40118.
И готовьтесь к установке SP3, ибо с такой системой вы очень скоро к нам вернетесь:
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
I am not young enough to know everything...
сделал лог
прикрепляю
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
И запустите cleanup.batКод:gmer.exe -del file "C:\WINDOWS\System32\bdtyca.dll" gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ngzitgi" gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ngzitgi" gmer.exe -reboot
Компьютер перезагрузится
Сделать новый лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
сделал как написано выше
после запуска cleanup.bat комп не перезагружался
новый лог выкладываю
Лог чист. Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
ну вроде все стало нормально, только вот есть подозрение на некоторые файлы на локальном С. Типа:
bcrypt.html
dk.exe
dodo.com
efesgrdf.exe
и тд. Таких файлов порядка 25 штук. Все на локальном С
Подозрения у кого?
у меня, разве эти файлы должны быть там?
Так пришлите их по правилам.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 9
- В ходе лечения обнаружены вредоносные программы:
- c:\docume~1\1747~1\locals~1\temp\gsf150\intel.exe - not-a-virus:Client-IRC.Win32.mIRC.601 ( DrWEB: Program.mIRC.601 )
- c:\docume~1\1747~1\locals~1\temp\gsf2\lsass.exe - not-a-virus:Client-IRC.Win32.mIRC.601 ( DrWEB: Program.mIRC.601 )
- c:\docume~1\1747~1\locals~1\temp\psycho.exe - not-a-virus:Client-IRC.Win32.mIRC.603 ( DrWEB: Program.mIRC.603, BitDefender: Backdoor.IRC, AVAST4: Win32:Trojan-gen {Other} )
- c:\system volume information\_restore{a1bddd4f-24da-4922-a4e1-f8e8c07821ee}\rp23\a0009333.exe - Backdoor.Win32.SdBot.oma ( DrWEB: BackDoor.IRC.Sdbot.5190, AVAST4: Win32:Inject-UW [Trj] )
- c:\windows\system32\norman32.exe - Net-Worm.Win32.Kolab.dut ( DrWEB: Trojan.MulDrop.32926, AVAST4: Win32:Trojan-gen {Other} )
- c:\windows\system32\taskmaneger.exe - Trojan-PSW.Win32.LdPinch.aiqp ( AVAST4: Win32:VB-MHX [Drp] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) deco90, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.