Выходило окно с сообщением о нарушении авторских прав на какую-то левую программу и предложением отослать СМС для активации. Выводился обратный счетчик времени. После точки зеро - BSOD.
Лечил AVPTools.
Просьба проверить все ли очистилось.
Выходило окно с сообщением о нарушении авторских прав на какую-то левую программу и предложением отослать СМС для активации. Выводился обратный счетчик времени. После точки зеро - BSOD.
Лечил AVPTools.
Просьба проверить все ли очистилось.
Вы не зря решили провериться)))Просьба проверить все ли очистилось.
1) Отключите восстановление системы.
2) Пофиксите в HijackThis:
3) Выполните скрипт в AVZ:Код:F3 - REG:win.ini: load=C:\WINDOWS\system\svchost.exe F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Program Files\Internet Explorer\svcnost.exe
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); TerminateProcessByName('c:\windows\system32\winagent.exe'); TerminateProcessByName('c:\windows\system\svchost.exe'); QuarantineFile('C:\Program Files\Java\jre1.6.1\java.exe',''); QuarantineFile('C:\WINDOWS\system32\sys32_nov.exe',''); QuarantineFile('C:\WINDOWS\system32\23.exe',''); QuarantineFile('C:\Documents and Settings\Чесноков\sys32_nov.exe',''); DeleteService('winmgmtstisvc'); QuarantineFile('C:\WINDOWS\system32\adsmsextn.exe',''); DeleteService('SwPrvRemoteAccess'); QuarantineFile('C:\WINDOWS\system32\3com_dmim.exe',''); QuarantineFile('C:\Program Files\Internet Explorer\svcnost.exe',''); QuarantineFile('c:\windows\system32\winagent.exe',''); QuarantineFile('C:\WINDOWS\system32\regedit.exe',''); QuarantineFile('c:\windows\system\svchost.exe',''); QuarantineFile('C:\WINDOWS\system32\wbem\svchost.exe',''); DeleteService('FCI'); QuarantineFile('C:\WINDOWS\system32\svchost.exe:ext.exe',''); DeleteFile('C:\WINDOWS\system32\3com_dmim.exe'); DeleteFile('C:\WINDOWS\system32\adsmsextn.exe'); DeleteFile('C:\Documents and Settings\Чесноков\sys32_nov.exe'); DeleteFile('C:\WINDOWS\system32\23.exe'); DeleteFile('C:\WINDOWS\system32\sys32_nov.exe'); DeleteFile('C:\Program Files\Internet Explorer\svcnost.exe'); DeleteFile('c:\windows\system32\winagent.exe'); DeleteFile('C:\WINDOWS\system32\regedit.exe'); DeleteFile('c:\windows\system\svchost.exe'); DeleteFile('C:\WINDOWS\system32\wbem\svchost.exe'); DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','sys32_nov'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','JavaVM'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','systme'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sys32_nov'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Internet Agent'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','windump'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','windump'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows NT\CurrentVersion\Windows','Load'); BC_ImportALL; ExecuteSysClean; ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; ClearHostsFile; RebootWindows(true); end.
Затем выполните второй скрипт в AVZ:
Файл quarantine.zip из папки с AVZ закачайте по ссылке "прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
4) сделайте новые логи.
GHETTO/STREET WORKOUT
И вот это тоже пофиксите:
Код:R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:8600
I am not young enough to know everything...
Карантин
Файл сохранён как091214_174736_quarantine_4b265008ac500.zip
Размер файла176534
MD5ac255966e25d18e0a3c823bb60bbb748
Новые логи прилагаю
1) Пофиксите в HijackThis:
2) Выполните скрипт в AVZ:Код:O23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe (file missing)
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('FCI'); DeleteService('FCI'); DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
3) Сделайте новый лог hijackthis.log + такой лог: http://virusinfo.info/showthread.php?t=53070
GHETTO/STREET WORKOUT
Выполнил.
Перегрузился и после фиксинга в хайджеке.
Логи прилагаю.
Удалите в mbam:
Сделайте новый лог mbam.Код:Заражено ключей реестра: HKEY_CLASSES_ROOT\CLSID\{1408e208-2ac1-42d3-9f10-78a5b36e05ac} (Trojan.BHO) -> No action taken. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\fci (Rootkit.Agent) -> No action taken. HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken. Заражено значений реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken. Заражено папок: C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken. Заражено файлов: C:\WINDOWS\innounp.exe (Malware.Packer) -> No action taken. C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken. C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken. C:\WINDOWS\system32\lowsec\user.ds.lll (Stolen.data) -> No action taken. C:\Documents and Settings\Чесноков\Application Data\wiaserva.log (Malware.Trace) -> No action taken. C:\WINDOWS\system32\0.exe (Backdoor.Bot) -> No action taken. C:\WINDOWS\system32\wbem\wbemdbg.exe (Malware.Trace) -> No action taken. C:\Documents and Settings\Чесноков\Избранное\Free Porn Videos, Porn Tube, Free Porn, Free Porn Movies, Porn, Sex.url (Rogue.Link) -> No action taken. C:\Documents and Settings\Чесноков\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> No action taken.
GHETTO/STREET WORKOUT
новый лог MBAM
Чисто.
Проблема решена?
GHETTO/STREET WORKOUT
А особых проблем не было - я ж из мнительности
Спасибо
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\program files\internet explorer\svcnost.exe - Trojan.Win32.Delf.sbw ( DrWEB: Trojan.PWS.Vkontakte.80, BitDefender: Gen:Trojan.Heur.aK0brjEBU8iID, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system\svchost.exe - Trojan.Win32.Swisyn.rtq ( DrWEB: Trojan.DownLoad.49166, AVAST4: Win32:Zbot-MKH [Trj] )
- c:\windows\system32\adsmsextn.exe - Trojan-Downloader.Win32.FraudLoad.gcp ( BitDefender: Trojan.Generic.2792328, AVAST4: Win32:Malware-gen )
- c:\windows\system32\winagent.exe - Packed.Win32.Krap.ai ( DrWEB: Trojan.Click.31902, AVAST4: Win32:FakeAlert-FA [Trj] )
- c:\windows\system32\3com_dmim.exe - Trojan.Win32.Agent.ddjj ( DrWEB: Trojan.Siggen.32834, BitDefender: Trojan.Generic.CJ.AGKH, NOD32: Win32/IRCBot.APW trojan )
Уважаемый(ая) bug, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.