-
Junior Member
- Вес репутации
- 54
Помогите restorer32_a.ехе Переустановка Винды не помогает!
Помогите restorer32_a.ехе Переустановка Винды не помогает!
Пользуюсь OutpostSecuritySuitePro в него автоматом добавляет разрешающие правила и делает что- хочет. Открывает кучу портов. Прога АVP Tools в безопасном режиме нашла775 вирусов! и удалила, но после перезагрузки все началось по новой. В конце концов появляется окно какого-то антивирус про 2010 и комп идет на перезагрузку. Переустановливал винду, не помогло. Надежда только на Вас. Помогите. Очень неохота терять всю инфу на компе. Сделанные все скрипты прилагаю.
Последний раз редактировалось AndreyKa; 08.10.2009 в 23:13.
Причина: загрузил логи как положенно
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\18.tmp','');
QuarantineFile('C:\WINDOWS\system32\16.tmp','');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\WINDOWS\system32\msxm192z.dll','');
QuarantineFile('C:\WINDOWS\system32\.\12.tmp','');
QuarantineFile('C:\WINDOWS\Temp\wpv501254489937.exe','');
QuarantineFile('C:\WINDOWS\System32\dmadmin.exe','');
QuarantineFile('C:\Documents and Settings\Loner\Application Data\svcst.exe','');
QuarantineFile('C:\Documents and Settings\Loner\Главное меню\Программы\Автозагрузка\uecupd32.exe','');
QuarantineFile('c:\windows\temp\wpv501254489937.exe','');
QuarantineFile('c:\windows\system32\servises.exe','');
QuarantineFile('c:\documents and settings\loner\application data\seres.exe','');
QuarantineFile('c:\documents and settings\loner\restorer32_a.exe','');
QuarantineFile('c:\windows\system32\ctfmon.exe','');
QuarantineFile('c:\program files\antiviruspro_2010\antiviruspro_2010.exe','');
DeleteFile('c:\program files\antiviruspro_2010\antiviruspro_2010.exe');
DeleteFile('c:\documents and settings\loner\restorer32_a.exe');
DeleteFile('c:\documents and settings\loner\application data\seres.exe');
DeleteFile('c:\windows\system32\servises.exe');
DeleteFile('c:\windows\temp\wpv501254489937.exe');
DeleteFile('C:\Program Files\AntivirusPro_2010\htmlayout.dll');
DeleteFile('C:\Program Files\AntivirusPro_2010\AVEngn.dll');
DeleteFile('C:\Documents and Settings\Loner\Главное меню\Программы\Автозагрузка\uecupd32.exe');
DeleteFile('C:\Documents and Settings\Loner\Application Data\svcst.exe');
DeleteFile('C:\WINDOWS\Temp\wpv501254489937.exe');
DeleteFile('C:\WINDOWS\system32\.\12.tmp');
DeleteFile('C:\WINDOWS\system32\msxm192z.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
DeleteFile('C:\WINDOWS\system32\16.tmp');
DeleteFile('C:\WINDOWS\system32\18.tmp');
DeleteFile('C:\WINDOWS\system32\1B.tmp');
DeleteFile('C:\WINDOWS\system32\15.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Обновите базы AVZ.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
-
-
Junior Member
- Вес репутации
- 54
Результат загрузки
Файл сохранён как 091008_234824_virus_4ace4208e5085.zip
Размер файла 5160404
MD5 4ab9ad8864b45e716cec6577ff5c98e7
также новый лог.
-
Очистите карантин AVZ.
Распакуйте файл AVZ.EXE из скаченного архива заново.
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\_scui.cpl','');
DeleteFile('C:\WINDOWS\system32\_scui.cpl');
QuarantineFile('C:\WINDOWS\system32\restorer32_a.exe','');
QuarantineFile('C:\WINDOWS\system32\asr_fmt.exe','');
QuarantineFile('C:\WINDOWS\system32\asr_ldm.exe','');
QuarantineFile('C:\WINDOWS\system32\asr_pfu.exe','');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','restorer32_a');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','restorer32_a');
DeleteFile('C:\WINDOWS\system32\restorer32_a.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
-
-
Junior Member
- Вес репутации
- 54
Результат загрузки
Файл сохранён как 091009_003230_virus_4ace4c5ebdea0.zip
Размер файла 219828
MD5 ee4cecb37b6768d05d1e37fca0a4b1e0
плюс лог. знать бы еще что это и как в будущем быть. может защиту сменить?
-
Было много чего и файловый вирус и троянов несколько. Большинство из них свежие, любой антивирус мог пропустить.
Теперь чисто, на мой взгляд.
Выполните в AVZ скрипт из файла ScanVuln.txt и приложите к этой теме файл c:\avz_log.txt
-
-
Junior Member
- Вес репутации
- 54
-
Загляните в файл avz_log.txt, там полезная для вашего компьютера информация.
-
-
Junior Member
- Вес репутации
- 54
Ну вроде нормально. Антивирус нашел еще несколько мелких вирусов и в процесе explorer.exe трояна trojan.win32.pathed!IK при помещении в карантин пропадает рабочий стол. может что-нибуть подскажете?
-
Замените файл C:\WINDOWS\Explorer.EXE на приложенный.
-
-
Junior Member
- Вес репутации
- 54
Сообщение от
AndreyKa
Замените файл C:\WINDOWS\Explorer.EXE на приложенный.
какой пароль к архиву?
-
Сообщение от
Vitalll
какой пароль к архиву?
virus
-
-
Я не нарочно. У меня такой по умолчанию (часто приходится файлы в вирлабы слать).
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 24
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\loner\application data\seres.exe - Trojan.Win32.Vilsel.iae ( DrWEB: Trojan.DownLoad.50013, AVAST4: Win32:Malware-gen )
- c:\documents and settings\loner\application data\svcst.exe - Trojan.Win32.Vilsel.iae ( DrWEB: Trojan.DownLoad.50013, AVAST4: Win32:Malware-gen )
- c:\documents and settings\loner\restorer32_a.exe - Trojan-Downloader.Win32.Agent.crmr ( DrWEB: Trojan.DownLoad.41506, AVAST4: Win32:Malware-gen )
- c:\documents and settings\loner\главное меню\программы\автозагрузка\uecupd32.exe - Backdoor.Win32.Bredolab.ahe ( DrWEB: Trojan.Botnetlog.11, BitDefender: Trojan.Generic.2523705, AVAST4: Win32:Trojan-gen )
- c:\program files\antiviruspro_2010\antiviruspro_2010.exe - Trojan.Win32.Vilsel.iaf ( DrWEB: Trojan.Packed.683, BitDefender: Gen:Packed.FakeAV.4, AVAST4: Win32:Trojan-gen )
- c:\windows\system32\msxm192z.dll - Trojan-GameThief.Win32.WOW.tvs ( DrWEB: Trojan.MulDrop.35559, BitDefender: Trojan.Generic.2508889 )
- c:\windows\system32\restorer32_a.exe - Trojan-Downloader.Win32.Mutant.foa ( DrWEB: Trojan.DownLoad.41506, BitDefender: Trojan.Downloader.JMKV )
- c:\windows\system32\_scui.cpl - Trojan.Win32.FraudPack.vmf ( BitDefender: Trojan.Generic.2508862, AVAST4: Win32:Malware-gen )
- c:\windows\system32\servises.exe - Packed.Win32.Krap.w ( DrWEB: Trojan.Spambot.4661, AVAST4: Win32:Trojan-gen )
- c:\windows\system32\1b.tmp - Trojan-Downloader.Win32.Genome.sza ( DrWEB: Trojan.DownLoad.50044 )
- c:\windows\system32\.\12.tmp - Trojan-Downloader.Win32.Mutant.fml ( DrWEB: Trojan.DownLoad.41506, BitDefender: Trojan.Generic.2505423, NOD32: Win32/Wigon.HT trojan, AVAST4: Win32:Cutwail-AB [Trj] )
- c:\windows\system32\15.tmp - Trojan-Downloader.Win32.DlfBfkg.aih ( DrWEB: Trojan.Bfkq.118, BitDefender: Trojan.Downloader.Agent.AATX, NOD32: Win32/Refpron.AA trojan, AVAST4: Win32:Malware-gen )
- c:\windows\system32\16.tmp - Trojan-Downloader.Win32.Genome.sza ( DrWEB: Trojan.DownLoad.50044 )
- c:\windows\system32\18.tmp - Trojan-Downloader.Win32.DlfBfkg.aih ( DrWEB: Trojan.Bfkq.118, BitDefender: Trojan.Downloader.Agent.AATX, NOD32: Win32/Refpron.AA trojan, AVAST4: Win32:Malware-gen )
- c:\windows\temp\wpv501254489937.exe - Backdoor.Win32.Bredolab.ahf ( DrWEB: Trojan.Proxy.6207, BitDefender: Trojan.Generic.2516349, NOD32: Win32/TrojanProxy.Tikayb.A trojan, AVAST4: Win32:Malware-gen )
-