Ни в обычном ни в безопасном режиме не запускается CureIt. После запуска вылетает ошибка, что приложение будет закрыто и появляется окошко CureIt, дескать были найдены вирусы. Посмотрите плиз.
Ни в обычном ни в безопасном режиме не запускается CureIt. После запуска вылетает ошибка, что приложение будет закрыто и появляется окошко CureIt, дескать были найдены вирусы. Посмотрите плиз.
Последний раз редактировалось Dunkelheit; 18.03.2011 в 09:51.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\program files\adobe\acrotray .exe',''); QuarantineFile('C:\WINDOWS\system32\nerocheck.exe',''); QuarantineFile('C:\WINDOWS\system32\rooboobir.exe',''); QuarantineFile('C:\Documents and Settings\1\Application Data\jlwcbb.exe,explorer.exe,C:\Documents and Settings\1\Application Data\gkewzr.exe,Explorer.exe',''); QuarantineFile('C:\Documents and Settings\1\Application Data\jlwcbb.exe',''); QuarantineFile('C:\DOCUME~1\1\LOCALS~1\Temp\noittoo.sys',''); DeleteService('pwvlackcteo'); QuarantineFile('C:\WINDOWS\system32\drivers\protect.sys',''); DeleteService('protect'); DeleteService('cydsoyofyefrqxa'); SetServiceStart('ffrlialowz03', 4); DeleteService('ffrlialowz03'); QuarantineFile('C:\WINDOWS\system32\app_dll.dll',''); TerminateProcessByName('c:\program files\internet explorer\wmpscfgs.exe'); QuarantineFile('c:\program files\internet explorer\wmpscfgs.exe',''); TerminateProcessByName('c:\windows\system32\vapywu.exe'); QuarantineFile('c:\windows\system32\vapywu.exe',''); TerminateProcessByName('C:\WINDOWS\system32\moonnijyg.exe'); QuarantineFile('C:\WINDOWS\system32\moonnijyg.exe',''); DeleteFile('C:\WINDOWS\system32\moonnijyg.exe'); DeleteFile('c:\windows\system32\vapywu.exe'); DeleteFile('c:\program files\internet explorer\wmpscfgs.exe'); DeleteFile('C:\WINDOWS\system32\app_dll.dll'); DeleteFile('C:\WINDOWS\system32\drivers\protect.sys'); DeleteFile('C:\DOCUME~1\1\LOCALS~1\Temp\noittoo.sys'); DeleteFile('C:\Documents and Settings\1\Application Data\jlwcbb.exe'); DeleteFile('C:\Documents and Settings\1\Application Data\jlwcbb.exe,explorer.exe,C:\Documents and Settings\1\Application Data\gkewzr.exe,Explorer.exe'); DeleteFile('C:\WINDOWS\system32\rooboobir.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','bivouh'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(17); RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + лог http://virusinfo.info/showpost.php?p=493610&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Карантин закачал. Скоро будут логи.
Логи
Последний раз редактировалось Dunkelheit; 18.03.2011 в 09:51.
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: c:\program files\143406.dat c:\program files\297187.dat c:\program files\127671.dat c:\windows\system32\pujor.exe Driver:: Folder:: Registry:: FileLook:: DirLook::
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
c:\windows\system32\grpconv.exe восстановите с дистрибутива http://virusinfo.info/showthread.php?t=51654
В имена этих легитимных файлов вирус добавил дополнительные пробелы перед расширением. Удалите лишние пробелы, вернув файлам их настоящие имена
После этого сделайте еще раз лог ComboFixКод:<pre> c:\program files\ABBYY Lingvo 10 Multilingual Dictionary\lvagent .exe c:\program files\ABBYY Lingvo 10 Multilingual Dictionary\tutor .exe c:\program files\Adobe\Reader 9.0\Reader\reader_sl .exe c:\program files\Battery Meter\btmeter .exe c:\program files\CapsLKNotify\capslknotify .exe c:\program files\Elantech\etdctrl .exe c:\program files\Java\jre6\bin\jusched .exe c:\program files\Messenger\msmsgs .exe c:\program files\TrafficCompressor\tcompres .exe c:\program files\WSED\wsed .exe </pre>
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Первый лог ComboFix.
Пробелы вручную удалить можно?
Последний раз редактировалось Dunkelheit; 18.03.2011 в 09:51.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
В первый раз ComboFix при проверке вылетел с синим экраном.
После перезагрузки прошел нормально. Лог прилагаю.
Последний раз редактировалось Dunkelheit; 18.03.2011 в 09:51.
c:\windows\system32\ezsidmv.dat (файл скрытый) вручную удалите
Запакуйте, пожалуйста, папку C:\Qoobox с паролем virus и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему. Когда отправите, сообщите
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Файл удалил. Письмо ушло.
Удалите ComboFix
Пофиксите в Hijack
Больше плохого не видноКод:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
Установите Internet Explorer 8 (даже если им не пользуетесь)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Благодарю за помощь.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 28
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\1\application data\jlwcbb.exe - Net-Worm.Win32.Kolab.hrr ( DrWEB: BackDoor.IRC.Bot.267, BitDefender: Trojan.Inject.VB.AM, AVAST4: Win32:Malware-gen )
- c:\program files\internet explorer\wmpscfgs.exe - Trojan-Clicker.Win32.Cycler.ozk ( DrWEB: Win32.HLLC.Asdas.4, BitDefender: Trojan.Agent.APHU, AVAST4: Win32:Spambot-EL [Trj] )
- c:\windows\system32\app_dll.dll - Trojan.Win32.FraudPack.apul ( DrWEB: Trojan.Siggen.59885, BitDefender: Trojan.Generic.3602389, AVAST4: Win32:Spambot-EL [Trj] )
- c:\windows\system32\moonnijyg.exe - Trojan-Dropper.Win32.Vidro.qb ( DrWEB: Trojan.WinSpy.711, AVAST4: Win32:Crypt-GCF [Trj] )
- c:\windows\system32\nerocheck.exe - Trojan-Clicker.Win32.Cycler.ozk ( DrWEB: Win32.HLLC.Asdas.4, BitDefender: Trojan.Agent.APHU, AVAST4: Win32:Spambot-EL [Trj] )
- c:\windows\system32\rooboobir.exe - Trojan-Dropper.Win32.Vidro.qc ( DrWEB: Trojan.WinSpy.711, AVAST4: Win32:Crypt-GCF [Trj] )
- c:\windows\system32\vapywu.exe - Trojan-Dropper.Win32.Vidro.qc ( DrWEB: Trojan.WinSpy.711, AVAST4: Win32:Crypt-GCF [Trj] )
Уважаемый(ая) Dunkelheit, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.