Привет всем! На компе сидела куча всяких разнообразных вирусов, кое что смог очистить сам, но зараза осталась. Никак не могу избавится от службы termina.exe и наверняка еще что то зловредное сидит. Помогите, пожалуйста одолеть заразу.
Привет всем! На компе сидела куча всяких разнообразных вирусов, кое что смог очистить сам, но зараза осталась. Никак не могу избавится от службы termina.exe и наверняка еще что то зловредное сидит. Помогите, пожалуйста одолеть заразу.
Последний раз редактировалось Vlan; 21.11.2009 в 14:42.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}'); QuarantineFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe',''); DelBHO('{284D86B1-F838-4d38-B546-74D40595316D}'); DelBHO('{16936DCC-E13D-48c4-9B38-64666E52D898}'); QuarantineFile('C:\WINDOWS\system32\cl29.dll',''); QuarantineFile('C:\WINDOWS\system32\jzusq5.dll',''); QuarantineFile('c:\windows\system32\rpcss.dll',''); QuarantineFile('C:\WINDOWS\system32\s.exe',''); QuarantineFile('C:\WINDOWS\system32\fwNvwdshYyu.dll',''); QuarantineFile('C:\WINDOWS\system32\begcKjIHhwb.dll',''); QuarantineFile('C:\WINDOWS\system32\RvmctvC.dll',''); QuarantineFile('C:\WINDOWS\system32\RamrtqC.dll',''); QuarantineFile('C:\WINDOWS\system32\Termina.exe',''); DeleteService('Widcddsfrv'); QuarantineFile('C:\WINDOWS\system32\BHY93CLASC\D001.exe',''); DeleteService('uj'); QuarantineFile('C:\WINDOWS\system32\IEUZCPLNML\G001.exe',''); DeleteService('tdrhg'); QuarantineFile('C:\WINDOWS\system32\ujbue.exe',''); DeleteService('rdf'); QuarantineFile('C:\WINDOWS\system32\IEUZCPLNML\P001.exe',''); DeleteService('NationalSer1.31'); QuarantineFile('C:\WINDOWS\system32\Yfdsba.exe',''); DeleteService('msssdsseo'); QuarantineFile('C:\WINDOWS\system32\JDQC1CRQ8U\E001.exe',''); DeleteService('gsg'); QuarantineFile('C:\WINDOWS\system32\IEUZCPLNML\F001.exe',''); DeleteService('fef'); QuarantineFile('C:\WINDOWS\feafvxx.exe',''); DeleteService('feaf'); QuarantineFile('C:\WINDOWS\dsfs.exe',''); DeleteService('dsafds'); QuarantineFile('C:\WINDOWS\system32\uprqa.exe',''); DeleteService('cs1.5'); QuarantineFile('C:\WINDOWS\system32\svvsm.exe',''); DeleteService('cs1.4'); QuarantineFile('C:\WINDOWS\system32\imciu.exe',''); DeleteService('cs1.3'); QuarantineFile('C:\WINDOWS\system32\46LUFN7QAM\G001.exe',''); DeleteService('bdsfg'); QuarantineFile('C:\WINDOWS\system32\regedit32.exe',''); DeleteService('BackGround Switch'); QuarantineFile('C:\WINDOWS\Ati2evxx.exe',''); DeleteService('Ati2evxx'); QuarantineFile('C:\WINDOWS\system32\IEUZCPLNML\I.exe',''); DeleteService('Alerters'); QuarantineFile('C:\WINDOWS\System32\AdvanceLink\smss.exe',''); DeleteService('AdvanceLink'); QuarantineFile('c:\windows\system32\lang\igcllzuigt.dll',''); QuarantineFile('C:\WINDOWS\system32\gz29050.dll',''); QuarantineFile('c:\Progra~1\mhzx\tlmhzx1031.dll',''); QuarantineFile('c:\documents and settings\local user\userdata.dll',''); DeleteFile('C:\WINDOWS\System32\AdvanceLink\smss.exe'); DeleteFile('C:\WINDOWS\system32\IEUZCPLNML\I.exe'); DeleteFile('C:\WINDOWS\Ati2evxx.exe'); DeleteFile('C:\WINDOWS\system32\regedit32.exe'); DeleteFile('C:\WINDOWS\system32\46LUFN7QAM\G001.exe'); DeleteFile('C:\WINDOWS\system32\imciu.exe'); DeleteFile('C:\WINDOWS\system32\svvsm.exe'); DeleteFile('C:\WINDOWS\system32\uprqa.exe'); DeleteFile('C:\WINDOWS\dsfs.exe'); DeleteFile('C:\WINDOWS\feafvxx.exe'); DeleteFile('C:\WINDOWS\system32\IEUZCPLNML\F001.exe'); DeleteFile('C:\WINDOWS\system32\JDQC1CRQ8U\E001.exe'); DeleteFile('C:\WINDOWS\system32\Yfdsba.exe'); DeleteFile('C:\WINDOWS\system32\IEUZCPLNML\P001.exe'); DeleteFile('C:\WINDOWS\system32\ujbue.exe'); DeleteFile('C:\WINDOWS\system32\IEUZCPLNML\G001.exe'); DeleteFile('C:\WINDOWS\system32\BHY93CLASC\D001.exe'); DeleteFile('C:\WINDOWS\system32\Termina.exe'); DeleteFile('C:\WINDOWS\system32\RamrtqC.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\BITS\Parameters','ServiceDll'); DeleteFile('C:\WINDOWS\system32\RvmctvC.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\123\Parameters','ServiceDll'); DeleteFile('C:\WINDOWS\system32\begcKjIHhwb.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\AuduoServic\Parameters','ServiceDll'); DeleteFile('C:\WINDOWS\system32\fwNvwdshYyu.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\AudgoServic\Parameters','ServiceDll'); DeleteFile('C:\WINDOWS\system32\s.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\OSEvent','EventMessageFile'); DeleteFile('c:\Progra~1\mhzx\tlmhzx1031.dll'); DeleteFile('c:\windows\system32\lang\igcllzuigt.dll'); DeleteFile('C:\WINDOWS\system32\gz29050.dll'); DeleteFile('C:\WINDOWS\system32\jzusq5.dll'); DeleteFile('C:\WINDOWS\system32\cl29.dll'); DeleteFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Благодарю Вас за помощь. Одна проблема, я не могу скачать gmer, браузер говорит страница недоступна.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Карантин прикрепил, логи повторяю. Gmer пытался скачать со здоровой машины, результат тот же - страница недоступна.
Последний раз редактировалось Vlan; 21.11.2009 в 14:42.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\9fe2a.dll',''); DeleteFile('C:\WINDOWS\system32\gz29050.dll'); DeleteFile('c:\windows\system32\rpcss.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\DcomLaunch\Parameters','ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\RpcSs\Parameters','ServiceDll'); DeleteFile('C:\WINDOWS\system32\9fe2a.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\NetGeek\Parameters','ServiceDll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Файл во вложении
Дополнительно проверьтесь http://www.secureblog.info/articles/597.html
Последний раз редактировалось thyrex; 04.04.2010 в 22:41.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Карантин, что то не получается у меня прикрепить, говорит данный файл уже загружен. Логи повторяю. Утилита TDSSKiller ничего не нашла. Компу что то все хуже и хуже, теперь он перестал копировать файлы и в панели задач не показывает что в данный момент открыто.
Последний раз редактировалось Vlan; 21.11.2009 в 14:42.
Прошу прощения, карантин прикрепил, по запаре пытался прицепить первый файл карантина.
Сохраните текст ниже как cleanup.bat в ту же папку, где находится 8is4qrzc.exe (gmer)
И запустите cleanup.batКод:8is4qrzc.exe -del service hcvspmh 8is4qrzc.exe -del file "C:\WINDOWS\system32\jzzbj.dll" 8is4qrzc.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hcvspmh" 8is4qrzc.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\hcvspmh" 8is4qrzc.exe -reboot
Компьютер перезагрузится
Сделать новый лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Спасибо, скрипт выполнил. Комп так-же не копирует файлы и в панели задач ничего не отображает.
Последний раз редактировалось Vlan; 21.11.2009 в 14:42.
В логе gmer чисто
Лог MBAM сделайте
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Добрый день! Установить MBAM не получилось, в самом конце установки он выдал ошибку. Не смог загрузить vbalGrid, ругнулся на vbalsGrid6.ocx (vbalsGrid6.ocx out of date). В качестве домашней страницы IE стоит пустая страница, но при открытии браузера загружается какая-то левая страница Проблема с копированием файлов и папок так и осталась, в панели задач так ничего и не отображается, а еще я заметил, что невозможно перемещать значки по рабочему столу. На всякий случай повторяю стандартные логи, посмотрите пожалуйста.
Последний раз редактировалось Vlan; 21.11.2009 в 14:42.
Кстати еще пытаюсь в AVZ отключить автозапуск со съемных носителей, локальных и сетевых дисков. После перезагрузки компа все возвращается на свои места, тоесть автозапуск остается. А еще не запускаются vb скрипты. Хотел скриптом скинуть настройки панели задач и рабочего стола в дефолтные не тут то было. Запускаешь файл, хоть из командной строки, хоть двойным щелчком, ничего не происходит вообще, как будто бы я его и не запускал вовсе.
Последний раз редактировалось Vlan; 17.11.2009 в 14:04.
Пробуем отключить автозапуск
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); RebootWindows(true); end.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Восстановил следующие ветки реестра, которые мы удалили во втором скрипте и все описаные проблемы исчезли.
'HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Ser vices\DcomLaunch\Parameters','ServiceDll'
HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Serv ices\RpcSs\Parameters','ServiceDll'
В последних логах я понимаю было чисто? Новые делать не надо?
Добавлено через 12 минут
Ой нет, оказывается не все проблемы решились. В браузере по умолчанию стоит пустая страница, однако он ломится на каккой то китайский сайт. В реестре не нашел упоминания об этом URL-е.
Последний раз редактировалось Vlan; 17.11.2009 в 14:47. Причина: Добавлено
Запустите AVZ.
Выполните скрипт через меню Файл:
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.Код:begin QuarantineFile('C:\WINDOWS\PPLAYE~1.DLL',''); end.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 10
- В ходе лечения обнаружены вредоносные программы:
- c:\progra~1\mhzx\tlmhzx1031.dll - Trojan-PSW.Win32.QQPass.prh
- c:\windows\system32\gz29050.dll - Trojan-GameThief.Win32.WOW.urc ( DrWEB: Trojan.PWS.Gamania.12064, BitDefender: Trojan.Generic.2634165, NOD32: Win32/PSW.OnLineGames.OOZ trojan, AVAST4: Win32:Malware-gen )
- c:\windows\system32\jzusq5.dll - not-a-virus:AdWare.Win32.BHO.jxn ( BitDefender: Gen:Adware.Heur.du8@N0c8jnhb )
- c:\windows\system32\regedit32.exe - Backdoor.Win32.DarkShell.de ( DrWEB: Trojan.DownLoad.28073, BitDefender: Trojan.Generic.2620984, AVAST4: Win32:Malware-gen )
- c:\windows\system32\rpcss.dll - Trojan-GameThief.Win32.WOW.ily ( DrWEB: Trojan.PWS.Wsgame.14562 )
- c:\windows\system32\termina.exe - Trojan.Win32.Scar.aohq ( DrWEB: BackDoor.Beizhu.2245, AVAST4: Win32:Dogrobot [Drp] )
- c:\windows\system32\9fe2a.dll - Backdoor.Win32.ZZSlash.ath ( DrWEB: Trojan.Raber.106, BitDefender: Rootkit.28959, AVAST4: Win32:Malware-gen )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) Vlan, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.