При попытке запуска браузера появляется информер с требованием отправить СМС. Проверял DrWeb LiveCD нашел несколько вирусов информер не исчез. Диспечер задач не запускается. Антивирусы тоже. При попытке открыть папку с AVZ компьютер выключается.
При попытке запуска браузера появляется информер с требованием отправить СМС. Проверял DrWeb LiveCD нашел несколько вирусов информер не исчез. Диспечер задач не запускается. Антивирусы тоже. При попытке открыть папку с AVZ компьютер выключается.
Скачайте LiveCD с возможностью поиска и исправления в реестре. Например, ERD Commander
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
HijackThis запускается, начинает работать, потом с рабочего стола все пропадает и все...
Сообщение №3 прочтите
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Прочитал. ERD качается. Что мне потом с ним делать?
Записать образ на диск, загрузиться с созданного диска
Затем Пуск - Выполнить - erdregedit
Посмотрите в реестре:
веткапараметрКод:HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WindowsСодержимое этого параметра напишите в своем сообщенииКод:AppInit_DLLs
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
C:\WINDOWS\Inf\syscomp.inf:ABuspPsL
Выполнять с LiveCD:
1. Переименуйте указанный файл
2. Очистите значение параметра AppInit_DLLs
3. Перезагрузитесь
Если баннер пропал, выполняйте правила + лог http://virusinfo.info/showpost.php?p=493610&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Вот логи
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
Компьютер перезагрузится.Код:begin SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); ExecuteRepair(13); ExecuteWizard('TSW', 2, 2, true); QuarantineFile('c:\windows\sorry.exe',''); DeleteFile('c:\windows\sorry.exe'); QuarantineFile('\\?\globalroot\systemroot\system32\snorgy2.exe',''); DeleteFile('\\?\globalroot\systemroot\system32\snorgy2.exe'); QuarantineFile('\\?\globalroot\systemroot\system32\arzkcyh.exe',''); DeleteFile('\\?\globalroot\systemroot\system32\arzkcyh.exe'); QuarantineFile('\\?\globalroot\systemroot\system32\fjwbqsy.exe',''); DeleteFile('\\?\globalroot\systemroot\system32\fjwbqsy.exe'); QuarantineFile('C:\DOCUME~1\8E8B~1\LOCALS~1\Temp\espFA92.tmp',''); QuarantineFile('C:\WINDOWS\inf\syscomp_new.inf:ABuspPsL:$DATA',''); QuarantineFile('srnh.lto',''); DeleteFile('srnh.lto'); DeleteFile('C:\WINDOWS\inf\syscomp_new.inf:ABuspPsL:$DATA'); RenameFile('C:\WINDOWS\inf\syscomp_new.inf', 'C:\WINDOWS\inf\syscomp.inf'); RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); DeleteFile('C:\DOCUME~1\8E8B~1\LOCALS~1\Temp\espFA92.tmp'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Обновите базы AVZ.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
Дополнительно к совету AndreyKa
Выполните скрипт в AVZ
Файл avz.log из папки AVZ прикрепите к сообщениюКод:begin RegSearch('HKLM', '', 'espFA92.tmp'); SaveLog(GetAVZDirectory + 'avz.log'); end.
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: c:\windows\system32\khl.dll c:\windows\system32\jawcrhqsn.dll c:\windows\system32\t.dll c:\windows\system32\faquytaw.dll c:\windows\system32\ceuxjfuip.dll c:\windows\system32\df.dll Driver:: Folder:: Registry:: FileLook:: DirLook::
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Карантин был пустой. Вот остальные логи.
Остальные.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Print\Providers\9445D642'); RegKeyDel('HKLM', 'SYSTEM\ControlSet001\Control\Print\Providers\9445D642'); RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Control\Print\Providers\9445D642'); RebootWindows(true); end.
Сделайте новый лог virusinfo_syscheck.zip
Запакуйте, пожалуйста, папку C:\Qoobox\Quarantine с паролем virus и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.
Удалите ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Карантин отправил.
F:\autorun.inf удалите вручную
Больше ничего плохого
Установите Internet Explorer 8 (даже если им не пользуетесь)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Спасибо.
Уважаемый(ая) IvanR, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.