-
Junior Member
- Вес репутации
- 53
Вирусы
Прошу помочь с компьютером:
Блокированы диспетчер задач, редактор реестра, доступ к антивирусным сайтам.
При попытке запуститься в безопасном режиме выскакиеает BSOD.
Проверяли на вирусы программой Dr.web Cureit, в обычном режиме - какие-то вирусы были найдены и удалены, но ничего не изменилось.
Новые версии Avz и Hijackthis скачтаь не могу, поэтому логи делал AVZ4 4.32.00 с базами от 07.03.2010 и HiJackThis 2.00.2
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\k-1-3542-4232123213-7676767-8888886\Wins.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1113\iuhi32.exe','');
QuarantineFile('%PROGRAMFILES%\SYSTMEM.EXE','');
QuarantineFile('C:\WINDOWS\system32\quituremmab.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\kbvka.exe,explorer.exe,C:\DOCUME~1\9335~1\LOCALS~1\Temp\msconf.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\kbvka.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\bfuvbhdi.sys','');
DeleteService('bfuvbhdi');
TerminateProcessByName('c:\docume~1\9335~1\locals~1\temp\tmp874.exe');
QuarantineFile('c:\docume~1\9335~1\locals~1\temp\tmp874.exe','');
TerminateProcessByName('c:\documents and settings\Администратор\application data\microsoft\svchost.exe');
QuarantineFile('c:\documents and settings\Администратор\application data\microsoft\svchost.exe','');
TerminateProcessByName('c:\documents and settings\Администратор\application data\microsoft\ryjegoz.exe');
QuarantineFile('c:\documents and settings\Администратор\application data\microsoft\ryjegoz.exe','');
DelCLSID('{23KLN5J0-4OPM-11WE-AAX5-24EF1F387232}');
DelCLSID('{18B0E5C0-4FCB-11CF-AAX5-004016608512}');
DeleteFile('c:\documents and settings\Администратор\application data\microsoft\ryjegoz.exe');
DeleteFile('c:\documents and settings\Администратор\application data\microsoft\svchost.exe');
DeleteFile('c:\docume~1\9335~1\locals~1\temp\tmp874.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\bfuvbhdi.sys');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','AutoStart');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','svchost.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','rahi');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\kbvka.exe');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\kbvka.exe,explorer.exe,C:\DOCUME~1\9335~1\LOCALS~1\Temp\msconf.exe');
DeleteFile('C:\WINDOWS\system32\quituremmab.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','rahi');
DeleteFile('%PROGRAMFILES%\SYSTMEM.EXE');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1113\iuhi32.exe');
DeleteFile('C:\RECYCLER\k-1-3542-4232123213-7676767-8888886\Wins.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(16);
ExecuteRepair(17);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сообщение от
Ars
поэтому логи делал AVZ4 4.32.00 с базами от 07.03.2010 и HiJackThis 2.00.2
Да нет, базы у вас от 21.08.2009
Сделайте новые логи полиморфным AVZ (ссылка в моей подписи)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Переделал.
Avz4 скачали вчера без меня, а я как-то не подумал, что базы не вчерашние.
Карантин выслал.
-
Выполните скрипт в AVZ
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('C:\Program Files\Internet Explorer\Connection Wizard\icwsetup.exe','');
end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Доступ к антвирусным сайтам появился?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Скрипт выполнил.
Доступ к сайтам вчера появлялся, но сегодня опять нет. Я, правда, не знаю когда он пропал. Мог ли он пропасть при выполнении скрипта?
Карантин не выслал, т.к. файлов на карантине нет.
На компьютере стоит Nod32 4.0474.0 со свежими и обновляемыми базами.
Диспетчер задач работает, реестр доступен.
Еще раз проверил все AVZ и HiJackThis
Если надо, вот логи:
-
Сделайте новые логи
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\kbvka.exe','');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\kbvka.exe');
DeleteFile('C:\Program Files\Internet Explorer\Connection Wizard\icwsetup.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи + лог http://virusinfo.info/showpost.php?p=493610&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 22
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\администратор\application data\kbvka.exe - Trojan-Dropper.Win32.Agent.bsvl ( AVAST4: Win32:Crypt-FYU [Drp] )
- c:\docume~1\9335~1\locals~1\temp\tmp874.exe - Backdoor.Win32.Agent.aqnh ( DrWEB: BackDoor.Siggen.12820, BitDefender: Backdoor.Agent.AANI )
-