-
Junior Member
- Вес репутации
- 52
W32 Polip Windows virus и множество приложений калечащих систему
С моим компьютером приключилась беда. Захожу я значит с утра,а мне вылазит куча окошек антивируса с заражеными системными файлами(которые моим антивирусом не лечатся,да и другими тоже собственно-перезаражаются после перезагрузки)
Вирус W32 Polip Windows virus,Worm palevo,и др.вирусы,капитально загружают систему,множество ненужных процессов в компьютере при завершении которые открываются заново-и так до бесконечности.Отключив компьютер от интернета можно добиться временного затишья вирусов,но так тоже все время нельзя-ибо работа ждет.
В папке temp различные цифровые файлы .exe некоторые антивирус видит абсолютно нормальными файлами-проверяла каспером,вебом,авирой-0 эмоций.
Также много вирусов в папке виндовс(в частности в систем32)
Многие программы не открываются-многие нормальные икс файлы заражаются этим полипом. Этот же вирус внедрялся несколько раз в доктора веба.
Вообщем засада,плюс еще не открывается управление пользователями.
В безопасном режиме проверить систему не удалось ибо через каждую минуту вылазила ошибка explorer.exe а если учесть что проверять диск С будет около двух-трех часов то замаяться можно постоянно нажимать на "отмена"
Надеюсь на вашу помощь-три дня потратила на этого подлюка,лечила вебом live cd,но это собственно почти бесполезно.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Пожалуйста, выполните скрипт AVZ:
Код:
begin
SearchRootkit(true, true);
QuarantineFile('Ati2evxx.dll', 'CHQ=N');
QuarantineFile('atioglxx.dll', 'CHQ=N');
QuarantineFile('IntelIde.sys', 'CHQ=N');
QuarantineFile('logon.scr', 'CHQ=N');
QuarantineFile('spzj.sys', 'CHQ=N');
QuarantineFile('C:\WINDOWS\ShellNew\sempalong.exe', 'CHQ=N');
QuarantineFile('C:\WINDOWS\system32\drivers\Cbccm.exe', 'CHQ=N');
QuarantineFile('C:\WINDOWS\system32\Drivers\uphcleanhlp.sys', 'CHQ=N');
QuarantineFile('C:\WINDOWS\Temp\_uninst_setup_9.0.0.722_01.02.2010_17-07.exe.bat', 'CHQ=N');
QuarantineFile('C:\WINDOWS\Temp\Rj8.exe', 'CHQ=N');
QuarantineFile('C:\WINDOWS\Temp\Rj9.exe', 'CHQ=N');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe', 'CHQ=N');
QuarantineFile('C:\RECYCLER\S-1-5-21-4084814994-1565952601-999666551-9896\wmfcgr.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe,C:\RECYCLER\S-1-5-21-0193150675-1943043992-621779436-7550\wmfcgr.exe,explorer.exe,c:\recycler\s-1-5-21-0243556031-888', 'CHQ=N');
QuarantineFile('C:\Documents and Settings\Lisenok\Шаблоны\Brengkolang.com', 'CHQ=N');
QuarantineFile('C:\Documents and Settings\Lisenok\Local Settings\Application Data\Mail.Ru\GameDownloader\AstrumDownloader.exe', 'CHQ=N');
QuarantineFile('C:\Documents and Settings\Lisenok\Local Settings\Application Data\smss.exe', 'CHQ=N');
QuarantineFile('C:\Program Files\SimPE\SimPe.exe', 'CHQ=N');
QuarantineFile('C:\WINDOWS\system32\drivers\scramby.sys', 'CHQ=G');
QuarantineFile('C:\WINDOWS\system32\drivers\scramby_out.sys', 'CHQ=G');
QuarantineFile('C:\Program Files\Agnitum\Outpost Firewall\feedback.exe', 'CHQ=G');
BC_QrFile('C:\WINDOWS\ShellNew\sempalong.exe');
BC_QrFile('C:\WINDOWS\system32\drivers\Cbccm.exe');
BC_QrFile('C:\WINDOWS\system32\Drivers\uphcleanhlp.sys');
BC_QrFile('C:\WINDOWS\Temp\_uninst_setup_9.0.0.722_01.02.2010_17-07.exe.bat');
BC_QrFile('C:\WINDOWS\Temp\Rj8.exe');
BC_QrFile('C:\WINDOWS\Temp\Rj9.exe');
BC_QrFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe');
BC_QrFile('C:\RECYCLER\S-1-5-21-4084814994-1565952601-999666551-9896\wmfcgr.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe,C:\RECYCLER\S-1-5-21-0193150675-1943043992-621779436-7550\wmfcgr.exe,explorer.exe,c:\recycler\s-1-5-21-0243556031-888');
BC_QrFile('C:\Documents and Settings\Lisenok\Шаблоны\Brengkolang.com');
BC_QrFile('C:\Documents and Settings\Lisenok\Local Settings\Application Data\smss.exe');
BC_QrFile('C:\Program Files\SimPE\SimPe.exe');
DeleteFile('C:\WINDOWS\jjdrive32.exe');
DeleteFile('C:\WINDOWS\system32\avsys.exe');
DeleteFile('C:\WINDOWS\system32\umdmgr.exe');
DeleteFile('C:\WINDOWS\system32\upd32.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-4084814994-1565952601-999666551-9896\wmfcgr.exe');
ExecuteWizard('TSW', 3, 3, true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
В ходе выполнения скрипта компьютер перезагрузится.
2. Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
3. В протоколе обнаружено много неопознанных файлов, рекомендуется выполнить http://virusinfo.info/index.php?page=uploadclean
-
-
Junior Member
- Вес репутации
- 52
Все выполнила
Добавлено через 4 минуты
Только что вспомнила что с утра было около 10-16 процессов ieexplorer.exe при закрытии открывалось сразу от 1-3 процессов.
Мало того окон интернета не было видно,но постоянно появлялось "закрытая вкладка восстановлена"
Это шутка или злонамеренный вред??
А еще при включении открываются мои документы
Последний раз редактировалось Lisk0; 22.02.2010 в 21:09.
Причина: Добавлено
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Так,вроде все правильно,посмотрите пожалуйста.
-
Junior Member
- Вес репутации
- 52
Очень прошу помочь-все еще при включении вылазит несколько окошечек с вирусом W32 Polip и открываются мои документы с проводником.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\shmgrate.exe','');
QuarantineFile('C:\WINDOWS\Network Diagnostic\xpnetdiag.exe','');
QuarantineFile('C:\WINDOWS\ALCMTR.EXE','');
QuarantineFile('C:\WINDOWS\ShellNew\sempalong.exe','');
DeleteFile('C:\WINDOWS\ShellNew\sempalong.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Bron-Spizaetus');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Карантин прислала,сейчас логи добавлю
-
Junior Member
- Вес репутации
- 52
-
Код:
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: MultiShop v2.0 - {39AA6D29-4236-4F25-A36A-3410EF5283D9} - C:\PROGRA~1\PIVIMM~1\MULTIS~1.DLL (file missing)
O9 - Extra button: MultiShop v2.0 - {39AA6D29-4236-4F25-A36A-3410EF5283D9} - C:\PROGRA~1\PIVIMM~1\MULTIS~1.DLL (file missing)
O9 - Extra 'Tools' menuitem: MultiShop v2.0 - {39AA6D29-4236-4F25-A36A-3410EF5283D9} - C:\PROGRA~1\PIVIMM~1\MULTIS~1.DLL (file missing)
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('','');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-4084814994-1565952601-999666551-9896\wmfcgr.exe');
QuarantineFile('C:\RECYCLER\S-1-5-21-4084814994-1565952601-999666551-9896\wmfcgr.exe','');
QuarantineFile('C:\WINDOWS\system32\shmgrate.exe','');
QuarantineFile('C:\WINDOWS\Network Diagnostic\xpnetdiag.exe','');
QuarantineFile('C:\WINDOWS\system32\sfcfiles.dll','');
DeleteFile('C:\WINDOWS\jjdrive32.exe');
DeleteFile('C:\WINDOWS\system32\umdmgr.exe');
DeleteService('Bonjour Service');
DeleteFileMask('%programfiles%\Bonjour\','*.*',true);
DeleteDirectory('%programfiles%\Bonjour\');
DelCLSID('{9999A076-A9E2-4C99-8A2B-632FC9429223}');
RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\Bonjour Service');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 3, 3, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_DeleteSvc('Bonjour Service');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 52
Мм,не совсем поняла где выполнять первый код...В hijathis?
-
Сообщение от
Lisk0
где выполнять первый код...В hijathis?
Да
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
-
-
Junior Member
- Вес репутации
- 52
-
Junior Member
- Вес репутации
- 52
-
Junior Member
- Вес репутации
- 52
Мм,не мог бы мне кто-нибудь помочь?
-
Профиксите в HijackThis как "профиксить в HiJackThis"
Код:
O20 - Winlogon Notify: LAAgent - LANotify.dll (file missing)
Что-нибудь еще беспокоит?
-
-
Junior Member
- Вес репутации
- 52
Все,спасибо ребят)Вирусняк нету,правда вот при включении компьютера стало вначале выводиться окошечко с иероглифами,а затем с пользователями.И плюс к этому панель управления пользователями не работает.
Это от вируса или уже система дурная?
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 34
- В ходе лечения обнаружены вредоносные программы:
- c:\recycler\s-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe - P2P-Worm.Win32.Palevo.rmm ( DrWEB: Win32.HLLW.Lime.187, BitDefender: Worm.Generic.227674, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Trojan-gen )
- c:\recycler\s-1-5-21-4084814994-1565952601-999666551-9896\wmfcgr.exe - P2P-Worm.Win32.Palevo.siz ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Backdoor.Tofsee.Gen, AVAST4: Win32:Zbot-MQO [Trj] )
- c:\windows\alcmtr.exe - P2P-Worm.Win32.Polip.a ( DrWEB: Win32.Polipos, BitDefender: Win32.Polip.A, NOD32: Win32/Polip virus, AVAST4: Win32:Polipos )
- c:\windows\jjdrive32.exe - Net-Worm.Win32.Kolab.ggv ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Trojan.Inject.WX, AVAST4: Win32:Zbot-MQO [Trj] )
- c:\windows\network diagnostic\xpnetdiag.exe - P2P-Worm.Win32.Polip.a ( DrWEB: Win32.Polipos, BitDefender: Win32.Polip.A, NOD32: Win32/Polip virus, AVAST4: Win32:Polipos )
- c:\windows\system32\shmgrate.exe - P2P-Worm.Win32.Polip.a ( DrWEB: Win32.Polipos, BitDefender: Win32.Polip.A, NOD32: Win32/Polip virus, AVAST4: Win32:Polipos )
- c:\windows\system32\umdmgr.exe - Trojan.Win32.Buzus.dhbf ( DrWEB: Trojan.MulDrop.64730, BitDefender: Backdoor.Tofsee.Gen, AVAST4: Win32:Zbot-MQO [Trj] )
-