Так же как и многие, подцепил неизвестно где этот вирус - прерывает соединение и т.д. Все сделал по "правилам," вот логи:
Так же как и многие, подцепил неизвестно где этот вирус - прерывает соединение и т.д. Все сделал по "правилам," вот логи:
Пофиксите в Hijackthis:Отключите компьютер от интернета, а также антивирус и/или файрвол.Код:O2 - BHO: FieryAds advertising module v1.5.0 - {CF272101-7F6E-4CF2-9453-B4C5D2FC32C0} - (no file) O4 - Startup: is-QPG3B.lnk = ?
Закройте все программы, запустите только AVZ и Internet Explorer.
Выполните скрипт в AVZ:
После выполнения скрипта компьютер перезагрузится!!!Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\system32\csrcs.exe'); QuarantineFile('D:\autorun.inf',''); QuarantineFile('C:\DOCUME~1\Jim\LOCALS~1\Temp\RJS1EA5.tmp',''); QuarantineFile('C:\DOCUME~1\Jim\LOCALS~1\Temp\mc28A.tmp',''); QuarantineFile('c:\windows\system32\csrcs.exe',''); DeleteService('GarenaPEngine'); DeleteFile('c:\windows\system32\csrcs.exe'); DeleteFile('C:\DOCUME~1\Jim\LOCALS~1\Temp\mc28A.tmp'); DeleteFile('C:\DOCUME~1\Jim\LOCALS~1\Temp\RJS1EA5.tmp'); DeleteFile('D:\autorun.inf'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteRepair(16); RebootWindows(true); end.
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Очистите временные папки интернета.
Сделайте новые логи по правилам + обязательно лог gmer
Сделано, немного навозился в прошлый раз с антивирусом - не отключил его полностью, да. В этот раз, насколько я понял, все в норме.
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, запустите AVZ.
Выполните скрипт в AVZ:компьютер перезагрузится...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\DOCUME~1\Jim\LOCALS~1\Temp\mc22.tmp',''); QuarantineFile('c:\windows\system32\drivers\kungsfgwhxteae.sys',''); QuarantineFile('c:\windows\system32\kungsfmqrssrnt.dll',''); QuarantineFile('c:\windows\system32\kungsfmxtpppjh.dll',''); QuarantineFile('c:\windows\system32\drivers\SKYNETqxtrxtpd.sys',''); QuarantineFile('c:\windows\system32\SKYNETimxwixrn.dll',''); QuarantineFile('c:\windows\system32\drivers\vsfocenjmjxseo.sys',''); QuarantineFile('c:\windows\system32\vsfocegdiqjmjd.dll',''); QuarantineFile('c:\windows\system32\vsfoceramctpir.dll',''); DeleteFile('c:\windows\system32\drivers\vsfocenjmjxseo.sys'); DeleteFile('c:\windows\system32\vsfoceramctpir.dll'); DeleteFile('c:\windows\system32\vsfocegdiqjmjd.dll'); DeleteFile('c:\windows\system32\SKYNETimxwixrn.dll'); DeleteFile('c:\windows\system32\kungsfmxtpppjh.dll'); DeleteFile('c:\windows\system32\kungsfmqrssrnt.dll'); DeleteFile('c:\windows\system32\drivers\SKYNETqxtrxtpd.sys'); DeleteFile('c:\windows\system32\drivers\kungsfgwhxteae.sys'); DeleteFile('C:\DOCUME~1\Jim\LOCALS~1\Temp\mc22.tmp'); BC_DeleteFile('C:\DOCUME~1\Jim\LOCALS~1\Temp\mc22.tmp'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы.
Сохраните ниже текст как cleanup.bat в ту же папку, где у Вас находится wv0byi9l.exe (gmer)
Запустите cleanup.batКод:wv0byi9l.exe -del service kungsfuwyrbfhq wv0byi9l.exe -del service SKYNETinneexyy wv0byi9l.exe -del service vsfocenockjmux wv0byi9l.exe -del file "c:\windows\system32\drivers\kungsfgwhxteae.sys" wv0byi9l.exe -del file "c:\windows\system32\kungsfbrlmjvxv.dat" wv0byi9l.exe -del file "c:\windows\system32\kungsfmqrssrnt.dll" wv0byi9l.exe -del file "c:\windows\system32\kungsfoeepakdn.dat" wv0byi9l.exe -del file "c:\windows\system32\kungsfmxtpppjh.dll" wv0byi9l.exe -del file "c:\windows\system32\drivers\SKYNETqxtrxtpd.sys" wv0byi9l.exe -del file "c:\windows\system32\SKYNETimxwixrn.dll" wv0byi9l.exe -del file "c:\windows\system32\drivers\vsfocenjmjxseo.sys" wv0byi9l.exe -del file "c:\windows\system32\vsfoceyedvpxga.dat" wv0byi9l.exe -del file "c:\windows\system32\vsfocegdiqjmjd.dll" wv0byi9l.exe -del file "c:\windows\system32\vsfocexqdadjnl.dat" wv0byi9l.exe -del file "c:\windows\system32\vsfoceramctpir.dll" wv0byi9l.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kungsfuwyrbfhq" wv0byi9l.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\SKYNETinneexyy" wv0byi9l.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\vsfocenockjmux" wv0byi9l.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\kungsfuwyrbfhq" wv0byi9l.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\SKYNETinneexyy" wv0byi9l.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\vsfocenockjmux" wv0byi9l.exe -reboot
Компьютер перезагрузится. Сделайте новый лог gmer
Сделано
"Пофиксите" в HijackThis
Что с проблемами?Код:R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.apeha.ru/
Насколько я могу судить - всё в норме, соединение не прерывается, проверки ничего не выявляют. Спасибо : )
Но, к сожалению, есть еще проблема - та же самая зараза окопалась на ноутбуке и флешках, коих 4 штуки. Как решить это? Ноутбук - снова создать тему и повторить сделанное в этой, а вот флешки? Отформатировать их я могу, но как это лучше сделать, и, вообще, поможет ли это?
Создайте новую тему для ноутбука. Делайте полные проверки утилитами со вставленными флешками. И на время создания логов и выполнения скриптов не отключайте их.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 29
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\csrcs.exe - Packed.Win32.Klone.bj ( DrWEB: Win32.HLLW.Autohit.3438, BitDefender: Trojan.AutoIT.ADB )
Уважаемый(ая) belllerofont, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.