-
Junior Member
- Вес репутации
- 54
Помогите избавиться от Win32/AutoRun.FakeAlert.M
Здравствуйте!
Прошу вашей помощи...
Компьютер заражен вирусами, "обычными" методами вылечиться не удается!
В системе установлен ESS 4, базы постоянно обновляются.
При загрузке системы ESS находит Win32/AutoRun.FakeAlert.M, удаляет его, но при очередной загрузке, он появляется снова...
Так же, при загрузке системы, на панели задач появляются вкладки IE... которые через некоторое время пропадают. А в диспетчере задач появилось много сомнительных процессов, вроде "iexplore.exe" и "explope.exe"...
Помогите, пожалуйста!
Вот логи:
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Пофиксите с помощью Hijackthis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Program Files\Internet Explorer\svcnost.exe
O1 - Hosts: 78.159.120.31 www.google.com.ua
O1 - Hosts: 78.159.120.31 google.com.ua
O1 - Hosts: 78.159.120.31 google.ru
O1 - Hosts: 78.159.120.31 www.google.ru
O1 - Hosts: 78.159.120.31 start.qip.ru
O1 - Hosts: 78.159.120.31 www.start.qip.ru
O1 - Hosts: 78.159.120.31 search.qip.ru
O1 - Hosts: 78.159.120.31 www.search.qip.ru
O1 - Hosts: 78.159.120.31 google.com
O1 - Hosts: 78.159.120.31 search.yahoo.com
O1 - Hosts: 78.159.120.31 www.search.yahoo.com
O1 - Hosts: 78.159.120.31 searchreinvented.com
O1 - Hosts: 78.159.120.31 www.bing.com
O1 - Hosts: 78.159.120.31 bing.com
O1 - Hosts: 78.159.120.31 google.pl
O1 - Hosts: 78.159.120.31 www.google.pl
O1 - Hosts: 78.159.120.31 google.de
O1 - Hosts: 78.159.120.31 www.google.pl
O1 - Hosts: 78.159.120.31 search.ukr.net
O1 - Hosts: 78.159.120.31 nova.rambler.ru
O1 - Hosts: 78.159.120.31 search.icq.com
O1 - Hosts: 78.159.120.31 portal.opera.com
O1 - Hosts: 78.159.120.31 search.utorrent.com
O1 - Hosts: 78.159.120.31 www.ask.com
O1 - Hosts: 78.159.120.31 www.nigma.ru
O1 - Hosts: 78.159.120.31 nigma.ru
O1 - Hosts: 78.159.120.31 ru.search.yahoo.com
O1 - Hosts: 78.159.120.31 www.ru.search.yahoo.com
O1 - Hosts: 78.159.120.31 results.metabot.ru
O1 - Hosts: 78.159.120.31 www.results.metabot.ru
2. Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\program files\internet explorer\svcnost.exe');
QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\explope.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\svcnost.exe','');
DeleteFile('C:\Program Files\Internet Explorer\svcnost.exe');
DeleteFile('C:\WINDOWS\system32\explope.exe');
DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Help');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(9);
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Файл quarantine.zip закачайте по ссылке прислать запрошенный карантин вверху темы
Сделайте новые логи
-
-
Junior Member
- Вес репутации
- 54
Venus Doom
Все выполнил...
После выполнения скрипта в AVZ, ESS нашел вирус - "C:\WINDOWS\system32\Drivers\vdmwndm4.sys
Про FakeAlert молчит...
Карантин выслал...
Файл сохранён как
091129_035857_quarantine_4b11c75202b36.zip
Размер файла 81849
MD5 adc863de14b9c7fb8623a4786219c58d
Вот новые логи:
-
Пофиксите с помощью HJT:
Код:
O20 - Winlogon Notify: agqvifwj - agqvifwj.dll (file missing)
Что с проблемой?
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\program files\internet explorer\svcnost.exe - Trojan-Downloader.Win32.Agent.cvmb ( DrWEB: Trojan.DownLoad1.11694, NOD32: Win32/Delf.OVP trojan )
- c:\program files\microsoft common\svchost.exe - Trojan.Win32.Vilsel.odw ( DrWEB: Win32.HLLW.Autoruner.6815, BitDefender: Gen:Trojan.Heur.GM.00488160A0, NOD32: Win32/AutoRun.FakeAlert.AF worm, AVAST4: Win32:AutoRun-AZS [Wrm] )
- c:\windows\system32\explope.exe - Trojan-Clicker.Win32.Delf.cxi ( BitDefender: Trojan.Generic.2779259, AVAST4: Win32:Malware-gen )
-