Junior Member
Вес репутации
57
трояны injektor,kriptyk,черви confickerX, confickerAA
эту нечисть находит мой нод антивирус
а также пропадает звук и интернет
свежеустановленный internet explorer8 вообще отказывается работать
опера очень долго думает.,даже просто зайти на этот форум огромная проблема помогите пожалуйста,
заранее спасибо
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее... ):
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\system32\drivers\czhf.exe');
QuarantineFile('C:\RECYCLER\S-1-5-21-3278227456-4703474046-169267083-8679\wmfcgr.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\CzhF.exe','');
DeleteFile('C:\WINDOWS\system32\drivers\CzhF.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-3278227456-4703474046-169267083-8679\wmfcgr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится
Файл quarantine.zip закачайте по ссылке прислать запрошенный карантин вверху темы
Сделайте новые логи
Junior Member
Вес репутации
57
карантин выслал, вот логи
спасибо!
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее... ):
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\fraps\fraps.exe');
TerminateProcessByName('c:\windows\system32\drivers\czhf.exe');
QuarantineFile('C:\FRAPS\FRAPS.EXE','');
QuarantineFile('C:\FRAPS\FRAPS.DLL','');
DeleteFile('C:\FRAPS\FRAPS.DLL');
DeleteFile('C:\FRAPS\FRAPS.EXE');
DeleteFile('C:\WINDOWS\system32\drivers\CzhF.exe');
DeleteFileMask('C:\FRAPS','*.*',true);
DeleteDirectory('C:\FRAPS');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Файл quarantine2.zip закачайте по ссылке прислать запрошенный карантин
Сделайте новые логи
Junior Member
Вес репутации
57
карантин ,логи выслал
спасибо
Вложения
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее... ):
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\system32\drivers\czhf.exe');
QuarantineFile('C:\WINDOWS\$NtServicePackUninstall$\explorer.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-2994058127-0078154960-653974021-0162\wmfcgr.exe','');
DeleteFile('C:\WINDOWS\system32\drivers\CzhF.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-2994058127-0078154960-653974021-0162\wmfcgr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(16);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine3.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится
Файл quarantine3.zip закачайте по ссылке прислать запрошенный карантин
Сделайте новые логи
Junior Member
Вес репутации
57
Вложения
Junior Member
Вес репутации
57
интернет появился, експлорер заработал, спасибо
но вот что нашел нод после перезагрузки
Изображения
Junior Member
Вес репутации
57
Удалить в MBAM
Код:
Заражено значений реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Microsoft Driver Setup (Worm.Palevo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Driver Setup (Worm.Palevo) -> No action taken.
Заражено файлов:
C:\Documents and Settings\Admin\Local Settings\Temp\570.exe (Trojan.Ranky) -> No action taken.
C:\Documents and Settings\Admin\Local Settings\Temp\682.exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Admin\Local Settings\Temp\709.exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Admin\Local Settings\Temp\859.exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Admin\Local Settings\Temp\866.exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Admin\Local Settings\Temp\032.exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Admin\Local Settings\Temp\200.exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Admin\Local Settings\Temp\344.exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Admin\Local Settings\Temp\371.exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Admin\Local Settings\Temp\439.exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Admin\Local Settings\Temp\462.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\system32\drivers\BSuBT.exe (Worm.Palevo) -> No action taken.
C:\WINDOWS\explorer.vbk (Heuristics.Reserved.Word.Exploit) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
57
просканировал еще разок, вроде зараженых обьектов стало больше.(
удалить все?
вот логи
Обновления после SP3 все установлены?
Удаляйте все, кроме
Код:
Заражено параметров реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
Заражено файлов:
C:\Program Files\ACD Systems\ACDSee\8.0\ACDSee8.exe (Trojan.KillAV) -> No action taken.
D:\mazuta\E N I G M A\ENIGMA\Winamp v5.32 Pro\Регистрация\Keygen\Keymaker.exe (Trojan.Downloader) -> No action taken.
Почистите мусор
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
57
ребята, спасибо огромное,нод замолчал, только вот звук пропадает всё равно..
вот такое сообщение вылазит
и еще при загрузке автооткрывается папка мои документы))
Junior Member
Вес репутации
57
о0
снова(
появились, когда очищал мусор из оперы
Junior Member
Вес репутации
57
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
57
неполучаетсо((
ладно, пойду сносить винду
извините за беспокойство и спасибо огромное за помощь
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 3 Обработано файлов: 10 В ходе лечения обнаружены вредоносные программы:
c:\recycler\s-1-5-21-2994058127-0078154960-653974021-0162\wmfcgr.exe - P2P-Worm.Win32.Palevo.kbu ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Trojan.Patched.BI, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Patched-JZ [Trj] ) c:\recycler\s-1-5-21-3278227456-4703474046-169267083-8679\wmfcgr.exe - P2P-Worm.Win32.Palevo.kbu ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Trojan.Patched.BI, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Patched-JZ [Trj] ) c:\windows\system32\drivers\czhf.exe - Trojan.Win32.Kreeper.ns ( DrWEB: Trojan.MulDrop.41909, BitDefender: Trojan.Dropper.TGF, NOD32: Win32/AutoRun.IRCBot.DI worm, AVAST4: Win32:Trojan-gen )