-
Junior Member
- Вес репутации
- 52
не могу удалить вирусы
Здравствуйте,тут такая проблема,которую не могу решить.Недавно заметил , что когда вставляются флешки и переносные диски антивирус ругается на файл в папке RECYCLER и autorun.inf\удалил их в реестре - svchost\netsvc , больше не появляются. Но сразу после загрузки windows или(вроде именно при подключении интернета) появляются вирусные файлы в WINDOWS\TEMP с различной нумерацией *** .exe и 1буквенный. также вирусы в Temporary Internet Files\content.ie5.
после удаления через некоторое время опять появляются два файла. щас например вот какой C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\JFOC7VQV\sm[1].data.
также интересуют неизвестные файлы типа:
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\GOBA60AD\63[1].exe . может есть и другие, точно не знаю.
Последний раз редактировалось God_RippeR; 20.03.2010 в 23:09.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Не нужно самостоятельно архивировать текстовую часть логов AVZ.
Ищите нужные архивы в папке LOG и выкладывайте
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
спасибо за подсказку, заменил.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\TEMP\xfgnp.exe','');
QuarantineFile('C:\WINDOWS\Mstray.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-2467145756-4775191312-866191486-8093\syscr.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-2467145756-4775191312-866191486-8093\syscr.exe');
DeleteFile('C:\WINDOWS\Mstray.exe');
DeleteFile('C:\WINDOWS\TEMP\xfgnp.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
скрипт выполнил,карантин прислал( 100321_013130_virus_4ba54cc281831.zip \ MD5 5bc745c743c478c171abc66984d76caf ).
(незнаю с этим ли это связано, но иногда ни с того, ни с сего появляются ошибки svchost.exe и explorer.exe (Инструкция по адресу "********" обратилась к памяти по адресу "*********". Память не может быть "read" ...) \ 1раз почемуто синий экран выбило.\щас пока 1ошибка svchost была написании поста.
вот логи:
Последний раз редактировалось God_RippeR; 21.03.2010 в 01:57.
-
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\28.scr','');
QuarantineFile('C:\WINDOWS\system32\msvmcls64.exe','');
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
Добавлено через 1 минуту
Сообщение от
God_RippeR
синий экран выбило
Если еще раз случится - сообщите код ошибки (STOP 0x00000????).
Последний раз редактировалось Bratez; 21.03.2010 в 02:59.
Причина: Добавлено
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 52
Сообщение от
Bratez
Если еще раз случится - сообщите код ошибки (STOP 0x00000????).
забыл посмотреть цифру,если случится еще сообщу.
скрипт выполнил, карантин прислал.(100321_101853_virus_4ba5c85d32655.zip \ MD5 1f650487e69d7f6600dc1fa7070e6e05 )
после перезаугрузки
C:\WINDOWS\system32\msvmcls64.exe снова появился но удалился антивирусом (после следующей перезагрузки не появился).
немного позже появилась ошибка svchost,чуть позже перестала работать программа(при сохранении зависает),потом когда нажимаю "мой компьютер" появляется окно но там пусто(и в заголовке устройство не отвечает).эх,только щас закрыл это окно и исчезла панель задач, диспетчер не появляется\alt+tab неработает(только браузер остался). с чем это связано?..
Последний раз редактировалось God_RippeR; 21.03.2010 в 10:45.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MS Virtual CLS');
DeleteFile('C:\WINDOWS\system32\msvmcls64.exe');
DeleteFile('C:\WINDOWS\system32\28.scr');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи + лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Итак.Скрипт выполнил,компьютер перезагрущился,сделал логи.
Во время проведения лога Gmer решил посмотреть кое-какой файл-зашел в "мой компьютер" опять было пусто..через несколько секунд синий экран и сразу перезагрузка(цифру не успел посмотреть).
После перезагрузки поставил опять Gmer на сканирование для лога,но через некоторое время компьютер завис(на мониторе был только рабочий стол,только изображение..).Пробовал в безопасном режиме-тоже самое(уже успел посмотреть - 0x0000007F (0x0000000d , 0x00000000 , 0x00000000)
Вот часть лога может как-нибудь поможет(кстати вот именно эту строчку "svhqj" удалял в svchost\netsvcs,наверно не все удалил.Также ощущается подвисания и торможения компьютера.
логи:
Последний раз редактировалось God_RippeR; 21.03.2010 в 13:03.
-
Во время сканирования gmer вообще лучше ничего не делать
Сохраните текст ниже как cleanup.bat в ту же папку, где находится d8udbsnb.exe (gmer)
Код:
d8udbsnb.exe -del service svhqj
d8udbsnb.exe -del file "C:\WINDOWS\system32\hvqrbq.dll"
d8udbsnb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\svhqj"
d8udbsnb.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\svhqj"
d8udbsnb.exe -reboot
И запустите cleanup.bat.
Компьютер перезагрузится!
Сделать новый лог gmer.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
запустил cleanup.bat,перезагрузился.Когда Gmer делал свою работу, я только наблюдал,но через некоторое время компьютер опять завис и все исчезло(только рабочий стол).После перезагрузки сделал опять сканирование(только часть,тк дальше зависает),но при нажатии save - gmer зависал, сделал с помощью copy...
опять появился неизвестный вирус C:\WINDOWS\system32\16.scr (удалился) и
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\CIDPRBVP\32[1].exe (не удаляется).
Последний раз редактировалось God_RippeR; 21.03.2010 в 14:01.
-
Защитный софт нужно выгружать перед созданием лога gmer
Лог чист. Что сейчас с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
антивирус ругается на:
C:\WINDOWS\System32\26.exe
и другие подобные файлы
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\CIDPRBVP\32[1].exe
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\37PV0QHD\61[1].exe
не удаляются (в унлокере указывается на используемый процесс - svchost)
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
во время работы Combofix я согласился скачать и установить windows recovery console\была 1 ошибка PEV.cfxxe
позже(после сканирования) после ошибки svchost почему-то перестают нормально работать программы и подвисает компьютер("мой компьютер" пустой\панель управления тоже..)
странно что программка flashget удалилась, ее можно опять устанавливать?и как избавиться от этой ооишбки svchost?
она постоянна вылетает когда включаю интернет(или захожу в браузер).
вот лог:
Последний раз редактировалось God_RippeR; 21.03.2010 в 15:16.
-
Junior Member
- Вес репутации
- 52
Посоветуйте - есть ли способ от этого избавиться или лучше переустановить ОС?
-
Сообщение от
God_RippeR
flashget удалилась
Можно будет восстановить по завершении лечения http://virusinfo.info/showpost.php?p=514765&postcount=3
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
Driver::
Folder::
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"7594:TCP"=-
FileLook::
c:\windows\HideWin.exe
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
После первой работы с комбофикс (через недолгое время),незнаю что случилось,может я чтото сделал,но никак не мог подключить интернет(он как-бы включался но на сайты не заходило\только в локальной сети).Решил переустановить windows xp\такую же,был удивлен что после установки xp и пары программ\драйверов были обнаружены теже вирусы что и были до переустановки.Но,удалились антивирусом и больше не появлялись, ошибка svchost пока была 1 раз и также компьютер завис...или это с программами чтонибудь?
сделал комбофиксом что вы говорили\и можно восстанавливать файлы регистра и остальные(что в Qoobox)?
лог:
-
Junior Member
- Вес репутации
- 52
Хм. выдало ошибку explorer.и интернет перестал опять работать как в тот раз.Незнаю откуда появилось еще одно подключение в папке "Internet" удалил \перезагрузил-заработало..
и что насчет:
это вирусы или программы конфликтуют или еще что?
и можно восстанавливать файлы реестра который удалил Qoobox,если они безопасны(а то кроме удаления программ настройки сбрасываются\пенель управления теперь не выдвигается вправо из пуска)-или такие вещи уже не восстановить?
(в основном беспокоит ошибка svchost.exe после которой сбрасыватеся интернет соединение(вид курсора и панели задач(windowsblinds\cursorXP)) после перезагрузки в скором времени опять svchost.exe ошибка..
Последний раз редактировалось God_RippeR; 22.03.2010 в 09:45.
-
Сообщение от
God_RippeR
выдало ошибку explorer.и интернет перестал опять работать как в тот раз
Обновления безопасности на систему все установлены?
Похоже, что нет:
Сообщение от
God_RippeR
беспокоит ошибка svchost.exe после которой сбрасыватеся интернет соединение(вид курсора и панели задач(windowsblinds\cursorXP)) после перезагрузки в скором времени опять svchost.exe ошибка
-