Банер, winlock

[tigr62]

Убил используя Лфйв_СД+ ДР.Веб

Не работает диспетчер задач.

AVZ что-то нашел в карантине лежат файлы

Лог Др.Веб

A0023923.dll C:\System Volume Information\_restore{14D078C4-9E8C-4AD1-9E56-05C047C3E9D1}\RP25 Trojan.Winlock.947 Удален.
A0023935.dll C:\System Volume Information\_restore{14D078C4-9E8C-4AD1-9E56-05C047C3E9D1}\RP25 Trojan.Winlock.947 Удален.
A0024934.dll C:\System Volume Information\_restore{14D078C4-9E8C-4AD1-9E56-05C047C3E9D1}\RP25 Trojan.Winlock.947 Удален.
A0025936.dll C:\System Volume Information\_restore{14D078C4-9E8C-4AD1-9E56-05C047C3E9D1}\RP25 Trojan.Winlock.947 Удален.
A0025952.dll C:\System Volume Information\_restore{14D078C4-9E8C-4AD1-9E56-05C047C3E9D1}\RP25 Trojan.Winlock.947 Удален.
A0026967.dll C:\System Volume Information\_restore{14D078C4-9E8C-4AD1-9E56-05C047C3E9D1}\RP25 Trojan.Winlock.947 Удален.
A0026988.dll C:\System Volume Information\_restore{14D078C4-9E8C-4AD1-9E56-05C047C3E9D1}\RP25 Trojan.Winlock.947 Удален.
A0027006.dll C:\System Volume Information\_restore{14D078C4-9E8C-4AD1-9E56-05C047C3E9D1}\RP25 Trojan.Winlock.947 Удален.
A0028004.dll C:\System Volume Information\_restore{14D078C4-9E8C-4AD1-9E56-05C047C3E9D1}\RP25 Trojan.Winlock.947 Удален.
A0029004.dll C:\System Volume Information\_restore{14D078C4-9E8C-4AD1-9E56-05C047C3E9D1}\RP25 Trojan.Winlock.947 Удален.
02.tmp C:\WINDOWS\system32 Win32.HLLW.Autoruner.5555 Удален.
06.tmp C:\WINDOWS\system32 Win32.HLLW.Autoruner.5555 Удален.
tmpazbsdypyoykt.dll C:\WINDOWS\system32 Trojan.Winlock.947 Удален.
userprefs.exe C:\WINDOWS\system32 Trojan.Winlock.965 Удален.
yivnpt.dll C:\WINDOWS\system32 Win32.HLLW.Shadow.based Удален.

[tigr62]

AVZ что-то нашел в карантине лежат файлы

может выслать карантин?

[DefesT]

Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\explorer.exe','');
 QuarantineFile('C:\WINDOWS\System32\user32.dll','');
 QuarantineFile('C:\WINDOWS\system32\userprefs.exe','');
 QuarantineFile('C:\WINDOWS\system32\06.tmp','');
 QuarantineFile('C:\WINDOWS\system32\02.tmp','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\RsNTGdi.sys','');
 DeleteService('iaqhgtuxw');
 DeleteService('gvdzhc');
 DeleteFile('C:\WINDOWS\system32\02.tmp');
 DeleteFile('C:\WINDOWS\system32\06.tmp');
 DeleteFile('C:\WINDOWS\system32\userprefs.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Service');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(11);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!!!
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам + лог gmer

[tigr62]

Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:После выполнения скрипта компьютер перезагрузится!!!
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам + лог gmer

gmer "вылетает" с ошибкой
При при попытке запустить IE комп перезагружается

Диспетчер задач заработал.

[tigr62]

Скачал gmer в другом месте, результат тот же - ошибка при запуске.

Добавлено через 3 часа 10 минут

Удалил "куки" и обнулил кеш в IE комп больше не перезагружается.
В логах чисто?

[DefesT]

Попробуйте запустить gmer в безопасном режиме

[tigr62]

Попробуйте запустить gmer в безопасном режиме

Точно такая же ошибка.

[tigr62]

Почистил надстройки IE, запустил его и сделал лог AVZ/

gmer не запускается

[tigr62]

подозрительный файлик - Vax347b.sys в папке system32\Drivers

Добавлено через 4 часа 39 минут

подозрительный файлик - Vax347b.sys в папке system32\Drivers

Всё чисто?
Система вроде работает стабильно.
Попробую обновить ось и установить пробную версию Eset Smart

[tigr62]

ПОПЫТАЛСя обновить ось при установки обновления KB898461 ошибка (см. 0скрииншот)

[tigr62]

Запустил проверку Dr. Web CureIt! и обнаружил что в одновременно запускаются два "ехешника" - k8un7xp.exe (99% памяти кушает) и 3fsw6q.exe , а сама утилита не запускается - виси в виде заставки.

[pig]

k8un7xp.exe - это собственно сканер. Переключиться на него через Alt+Tab не получается?

[tigr62]

k8un7xp.exe - это собственно сканер. Переключиться на него через Alt+Tab не получается?

Нет, от него только заставка. :Ждал минут 20.
Попытался запустить Лайв_Касперского, он сутки назад у меня загружался, проссто базы не мог обновить и я не стал его и использовать, убил Winlock другим способом. А сейчас он на самом последнем этапе -загрузка графики и стола зависает и уходит на перезагрузку.

Я два часа назад чистил AVPTool он нашел в папке "Документэндсетинг/Vadim" файл Vadim.exe - win32.VB.axb и убил его/
Может мне убить папку Касперского в Документэндсетинг которую AVPTool создал? Тогда запустится Лайв_Касперского?

Добавлено через 1 час 27 минут

убил папку Касперского в Документэндсетинг которую AVPTool создал и Лайв_Касперский запустился, обновил базы и проверил диск С - ничего не нашел.

Добавлено через 49 минут

k8un7xp.exe - это собственно сканер. Переключиться на него через Alt+Tab не получается?

А вот это тогда что - 3fsw6q.exe тоже запускается вместе с CureIt!

[pig]

А вот это тогда что - 3fsw6q.exe тоже запускается вместе с CureIt!

Вот это:

от него только заставка

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 15
• В ходе лечения вредоносные программы в карантинах не обнаружены