1. блокировал лицензионный dr.web
2. сам закрывает окна любого браузера
3. не дает запускать или устанавливать другие антивирусы
что делать? помогите!
в процессах висит куча файлов неизвестного происхождения...
1. блокировал лицензионный dr.web
2. сам закрывает окна любого браузера
3. не дает запускать или устанавливать другие антивирусы
что делать? помогите!
в процессах висит куча файлов неизвестного происхождения...
Скачайте и запустите KatesKiller.exe. http://support.kaspersky.ru/viruses/...?qid=208636943
Затем логи
скачал, запустил, ничего не найдено. прочитал правила, касперский даже не устанавливается, hijack тоже, доктор веб блокирован для обновления, сканер не запускается. AVZ логи прикрепляю
Последний раз редактировалось dijurkin; 15.12.2009 в 19:31. Причина: прикрепление файлов
отключился от сетки, запустил kateskiller еще раз, перезагрузился. Доктор начал находить всякие гадости, но сканер по прежнему не запускается. Удалось запустить устаноку касперского!
Отключите!!! Перезагрузите ПК, выполните скриптВосстановление системы: включено
затем следующийКод:begin DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true); SetAVZPMStatus(True); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\autorun.inf',''); QuarantineFile('C:\ioserwemb.bat',''); QuarantineFile('C:\DOCUME~1\Carrida\LOCALS~1\Temp\rgtokypgepkxrqlsjw.exe .',''); QuarantineFile('C:\DOCUME~1\Carrida\LOCALS~1\Temp\ewmkjauopdbroqoysiska.exe',''); QuarantineFile('C:\DOCUME~1\Carrida\LOCALS~1\Temp\csgczogyxjftookskyg.exe .',''); QuarantineFile('C:\DOCUME~1\Carrida\LOCALS~1\Temp\bozsmyncyhaldaty.exe',''); QuarantineFile('c:\docume~1\carrida\locals~1\temp\pstcmo.exe',''); TerminateProcessByName('c:\docume~1\carrida\locals~1\temp\pstcmo.exe'); QuarantineFile('c:\windows\system32\pgvsqgzssfcrnolunclc.exe',''); TerminateProcessByName('c:\windows\system32\pgvsqgzssfcrnolunclc.exe'); DeleteFile('c:\windows\system32\pgvsqgzssfcrnolunclc.exe'); DeleteFile('c:\docume~1\carrida\locals~1\temp\pstcmo.exe'); DeleteFile('C:\DOCUME~1\Carrida\LOCALS~1\Temp\bozsmyncyhaldaty.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wekynueofjx'); DeleteFile('C:\DOCUME~1\Carrida\LOCALS~1\Temp\csgczogyxjftookskyg.exe .'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','tcjyowhskpel'); DeleteFile('C:\DOCUME~1\Carrida\LOCALS~1\Temp\ewmkjauopdbroqoysiska.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','iwicxkaqnxrdwuouk'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','binaoudmcf'); DeleteFile('C:\DOCUME~1\Carrida\LOCALS~1\Temp\rgtokypgepkxrqlsjw.exe .'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','bozsmyncyhaldaty'); DeleteFile('C:\ioserwemb.bat'); DeleteFile('C:\autorun.inf'); BC_ImportAll; ExecuteSysClean; Executerepair(6); Executerepair(12); Executerepair(17); ExecuteWizard('TSW', 2, 2, true); BC_Activate; RebootWindows(true); end.
Выполнить еще такой скриптКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
файл quarantine.zip закачайте по ссылке Прислать запрошенный карантинКод:var i : integer; KeyList : TStringList; begin KeyList := TStringList.Create; RegKeyEnumKey('HKLM','SYSTEM', KeyList); for i := 0 to KeyList.Count-1 do if pos('controlset', LowerCase(KeyList[i])) > 0 then begin if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\BITS исправлено на оригинальное.'); end; if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\wuauserv исправлено на оригинальное.'); end; end; KeyList.Free; SaveLog(GetAVZDirectory + 'fystemRoot.log'); end.
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению
отключить не получается, пишет: rundll не является приложением Win32
Выполните скрипты
скрипты выполнил, браузер работает, стало чуть получше. Логи прикрепляю (почему то они не обновляются)
Лог Hijack сделать сможете?
Добавлено через 9 минут
Попробуйте отключить восстановление системы.
Выполните скрипт
затем следующийКод:begin DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\pgvsqgzssfcrnolunclc.exe',''); QuarantineFile('C:\WINDOWS\system32\iwicxkaqnxrdwuouk.exe',''); QuarantineFile('C:\WINDOWS\system32\ewmkjauopdbroqoysiska.exe',''); QuarantineFile('C:\WINDOWS\system32\csgczogyxjftookskyg.exe',''); QuarantineFile('C:\WINDOWS\system32\bozsmyncyhaldaty.exe',''); QuarantineFile('C:\DOCUME~1\Carrida\LOCALS~1\Temp\rgtokypgepkxrqlsjw.exe .',''); QuarantineFile('C:\DOCUME~1\Carrida\LOCALS~1\Temp\rgtokypgepkxrqlsjw.exe',''); QuarantineFile('C:\DOCUME~1\Carrida\LOCALS~1\Temp\iwicxkaqnxrdwuouk.exe',''); QuarantineFile('C:\DOCUME~1\Carrida\LOCALS~1\Temp\ewmkjauopdbroqoysiska.exe .',''); QuarantineFile('C:\DOCUME~1\Carrida\LOCALS~1\Temp\VU9X7nsE.sys',''); QuarantineFile('C:\DOCUME~1\Carrida\LOCALS~1\Temp\bozsmyncyhaldaty.exe',''); TerminateProcessByName('c:\docume~1\carrida\locals~1\temp\rxkcqqagbhu.exe'); QuarantineFile('c:\docume~1\carrida\locals~1\temp\rxkcqqagbhu.exe',''); TerminateProcessByName('c:\docume~1\carrida\locals~1\temp\pstcmo.exe'); QuarantineFile('c:\docume~1\carrida\locals~1\temp\pstcmo.exe',''); TerminateProcessByName('c:\docume~1\carrida\locals~1\temp\bozsmyncyhaldaty.exe'); QuarantineFile('c:\docume~1\carrida\locals~1\temp\bozsmyncyhaldaty.exe',''); QuarantineFile('C:\ioserwemb.bat',''); QuarantineFile('C:\sckaramyrxnvk.bat',''); QuarantineFile('C:\System Volume Information\_restore{ECD86570-C855-44B2-8124-955B60F4DD60}\RP1\A0000016.bat',''); QuarantineFile('C:\System Volume Information\_restore{ECD86570-C855-44B2-8124-955B60F4DD60}\RP1\A0000017.bat',''); QuarantineFile('C:\System Volume Information\_restore{ECD86570-C855-44B2-8124-955B60F4DD60}\RP1\A0000018.bat',''); QuarantineFile('C:\wekynueofjx.bat',''); QuarantineFile('C:\WINDOWS\Installer\3ef071.msi',''); QuarantineFile('C:\autorun.inf',''); DeleteFile('C:\autorun.inf'); DeleteFile('C:\wekynueofjx.bat'); DeleteFile('C:\System Volume Information\_restore{ECD86570-C855-44B2-8124-955B60F4DD60}\RP1\A0000018.bat'); DeleteFile('C:\System Volume Information\_restore{ECD86570-C855-44B2-8124-955B60F4DD60}\RP1\A0000017.bat'); DeleteFile('C:\System Volume Information\_restore{ECD86570-C855-44B2-8124-955B60F4DD60}\RP1\A0000016.bat'); DeleteFile('C:\sckaramyrxnvk.bat'); DeleteFile('C:\ioserwemb.bat'); DeleteFile('c:\docume~1\carrida\locals~1\temp\bozsmyncyhaldaty.exe'); DeleteFile('c:\docume~1\carrida\locals~1\temp\pstcmo.exe'); DeleteFile('c:\docume~1\carrida\locals~1\temp\rxkcqqagbhu.exe'); DeleteFile('C:\DOCUME~1\Carrida\LOCALS~1\Temp\bozsmyncyhaldaty.exe'); DeleteFile('C:\DOCUME~1\Carrida\LOCALS~1\Temp\VU9X7nsE.sys'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wekynueofjx'); DeleteFile('C:\DOCUME~1\Carrida\LOCALS~1\Temp\ewmkjauopdbroqoysiska.exe .'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','bozsmyncyhaldaty'); DeleteFile('C:\DOCUME~1\Carrida\LOCALS~1\Temp\iwicxkaqnxrdwuouk.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','iwicxkaqnxrdwuouk'); DeleteFile('C:\DOCUME~1\Carrida\LOCALS~1\Temp\rgtokypgepkxrqlsjw.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','binaoudmcf'); DeleteFile('C:\DOCUME~1\Carrida\LOCALS~1\Temp\rgtokypgepkxrqlsjw.exe .'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','tcjyowhskpel'); DeleteFile('C:\WINDOWS\system32\bozsmyncyhaldaty.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','tenewgtgahyhxs'); DeleteFile('C:\WINDOWS\system32\csgczogyxjftookskyg.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wekynueofjx'); DeleteFile('C:\WINDOWS\system32\ewmkjauopdbroqoysiska.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','tcjyowhskpel'); DeleteFile('C:\WINDOWS\system32\iwicxkaqnxrdwuouk.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','wiskdocqltlvmia'); DeleteFile('C:\WINDOWS\system32\pgvsqgzssfcrnolunclc.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','sckaramyrxnvk'); BC_ImportAll; ExecuteSysClean; Executerepair(6); Executerepair(17); ExecuteWizard('TSW', 2, 2, true); BC_Activate; RebootWindows(true); end.
и еще одинКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
файл quarantine.zip закачайте по ссылке Прислать запрошенный карантинКод:var i : integer; KeyList : TStringList; begin KeyList := TStringList.Create; RegKeyEnumKey('HKLM','SYSTEM', KeyList); for i := 0 to KeyList.Count-1 do if pos('controlset', LowerCase(KeyList[i])) > 0 then begin if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\BITS исправлено на оригинальное.'); end; if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\wuauserv исправлено на оригинальное.'); end; end; KeyList.Free; SaveLog(GetAVZDirectory + 'fystemRoot.log'); end.
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению
Последний раз редактировалось Шапельский Александр; 15.12.2009 в 21:43. Причина: Добавлено
здравствуйте!
все запускается, доктор обновился. HaJack запустил, скрипты выполнил, логи прикрепляю. Браузер пока сам закрывается, в корневой папке винды лежат непонятные файлы:
wiadebug
wiaservc
содержание:
2009-12-16 09:44:19:968 1748 738 Misc =========== Logging initialized (build: 7.2.6001.788, tz: +0300) ===========
2009-12-16 09:44:19:968 1748 738 Misc = Process: C:\WINDOWS\Explorer.EXE
2009-12-16 09:44:19:968 1748 738 Misc = Module: C:\WINDOWS\system32\wuaueng.dll
2009-12-16 09:44:19:968 1748 738 Shutdwn Install at shutdown: no updates to install
2009-12-16 09:44:19:968 1748 738 Shutdwn FATAL: WUCheckForUpdatesAtShutdown failed, hr=80240FFF
2009-12-16 09:44:43:203 720 f9c Misc =========== Logging initialized (build: 7.2.6001.788, tz: +0300) ===========
2009-12-16 09:44:43:203 720 f9c Misc = Process: \??\C:\WINDOWS\system32\winlogon.exe
2009-12-16 09:44:43:203 720 f9c Misc = Module: C:\WINDOWS\system32\wuaueng.dll
2009-12-16 09:44:43:203 720 f9c Shutdwn FATAL: WUAutoUpdateAtShutdown failed, hr=80240FFF
Последний раз редактировалось dijurkin; 16.12.2009 в 10:29. Причина: Добавлено
почему-то не сохраняются логи avz
Просканируйте ПК антивирусом, затем AVPTool. Сделайте логи.
доктор веб ничего не нашел. Логи AVP прикрепляю. Поведение странное: перед загрузкой винды появляется пустое окно с кнопкой "ок". В проводнике нарисовалась какая то удаленная папка в интернете.
Выполните скрипт в avz
ПК перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\mmmsmoxjl.dll',''); DeleteFile('E:\autorun.inf'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
все сделал. касперский удалился
В логе чисто, что с проблемой?
Рекомендую обновить Windows SP2 до Windows SP3, возможно потребуется активация, + установите последние обновления на ОС.
спасибо, проблема вроде бы решена. блин как я вам благодарен - 127944093 дмитрий. торгую шинами, пишите anytime
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 49
- В ходе лечения обнаружены вредоносные программы:
- c:\docume~1\carrida\locals~1\temp\iwicxkaqnxrdwuou k.exe - Trojan.Win32.Chydo.qk
- c:\windows\system32\bozsmyncyhaldaty.exe - Trojan.Win32.Chydo.qk
- c:\windows\system32\ewmkjauopdbroqoysiska.exe - Trojan.Win32.Chydo.qk
- c:\windows\system32\iwicxkaqnxrdwuouk.exe - Trojan.Win32.Chydo.qk
Уважаемый(ая) dijurkin, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.