Добрый день. Где-то подцепил вирус. В диспетчере задач куча левых процессов: J001.exe, 288D.exe ,BFGDC.exe, BJMYPRT.exe. Антивирус блокируется, в безопасный режим достучаться не удалось. Помогите пожалуйста.
Добрый день. Где-то подцепил вирус. В диспетчере задач куча левых процессов: J001.exe, 288D.exe ,BFGDC.exe, BJMYPRT.exe. Антивирус блокируется, в безопасный режим достучаться не удалось. Помогите пожалуйста.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\Admin\Шаблоны\WowTumpeh.com',''); QuarantineFile('C:\WINDOWS\system32\scmasvstart.dll',''); QuarantineFile('C:\WINDOWS\mslsrv32.exe',''); QuarantineFile('C:\Documents and Settings\Admin\Рабочий стол\YCCY\YCCY.exe',''); DeleteService('eak89ih3edmo'); DeleteService('ywauohouiyo6uo8'); QuarantineFile('C:\WINDOWS\system32\hupyqu.exe',''); QuarantineFile('C:\WINDOWS\system32\cifig.exe',''); SetServiceStart('cl200961', 4); DeleteService('cl200961'); QuarantineFile('c:\windows\system32\mlyipcm.exe',''); TerminateProcessByName('c:\windows\system32\ju8hqxw5\j001.exe'); QuarantineFile('c:\windows\system32\ju8hqxw5\j001.exe',''); TerminateProcessByName('c:\windows\system32\xixyblvu\j001.exe'); QuarantineFile('c:\windows\system32\xixyblvu\j001.exe',''); TerminateProcessByName('c:\windows\system32\xlm57tld\j001.exe'); QuarantineFile('c:\windows\system32\xlm57tld\j001.exe',''); TerminateProcessByName('c:\windows\system32\wcetsaho\j001.exe'); QuarantineFile('c:\windows\system32\wcetsaho\j001.exe',''); TerminateProcessByName('c:\windows\system32\wdcfm7rn\j001.exe'); QuarantineFile('c:\windows\system32\wdcfm7rn\j001.exe',''); TerminateProcessByName('c:\windows\system32\jn3wrw5e\j001.exe'); QuarantineFile('c:\windows\system32\jn3wrw5e\j001.exe',''); TerminateProcessByName('c:\windows\system32\jx1nihje\j001.exe'); QuarantineFile('c:\windows\system32\jx1nihje\j001.exe',''); TerminateProcessByName('c:\windows\system32\vew7dibd\j001.exe'); QuarantineFile('c:\windows\system32\vew7dibd\j001.exe',''); TerminateProcessByName('c:\windows\system32\vuvqq4jb\j001.exe'); QuarantineFile('c:\windows\system32\vuvqq4jb\j001.exe',''); TerminateProcessByName('c:\windows\system32\usmj78io\j001.exe'); QuarantineFile('c:\windows\system32\usmj78io\j001.exe',''); TerminateProcessByName('c:\windows\system32\uehtckou\j001.exe'); QuarantineFile('c:\windows\system32\uehtckou\j001.exe',''); TerminateProcessByName('c:\windows\system32\uscyjar0\j001.exe'); QuarantineFile('c:\windows\system32\uscyjar0\j001.exe',''); TerminateProcessByName('c:\windows\system32\ttajc71z\j001.exe'); QuarantineFile('c:\windows\system32\ttajc71z\j001.exe',''); TerminateProcessByName('c:\windows\system32\z\j001.exe'); QuarantineFile('c:\windows\system32\z\j001.exe',''); TerminateProcessByName('c:\windows\system32\tqxyoevj\j001.exe'); QuarantineFile('c:\windows\system32\tqxyoevj\j001.exe',''); TerminateProcessByName('c:\windows\system32\s22iqtj5\j001.exe'); QuarantineFile('c:\windows\system32\s22iqtj5\j001.exe',''); TerminateProcessByName('c:\windows\system32\rs6skoyj\j001.exe'); QuarantineFile('c:\windows\system32\rs6skoyj\j001.exe',''); TerminateProcessByName('c:\windows\system32\rhh8wlzs\j001.exe'); QuarantineFile('c:\windows\system32\rhh8wlzs\j001.exe',''); TerminateProcessByName('c:\windows\system32\qqfzn5ds\j001.exe'); QuarantineFile('c:\windows\system32\qqfzn5ds\j001.exe',''); TerminateProcessByName('c:\windows\system32\q0qkgef2\j001.exe'); QuarantineFile('c:\windows\system32\q0qkgef2\j001.exe',''); TerminateProcessByName('c:\windows\system32\p0lr3ek8\j001.exe'); QuarantineFile('c:\windows\system32\p0lr3ek8\j001.exe',''); TerminateProcessByName('c:\windows\system32\p0trs2eo\j001.exe'); QuarantineFile('c:\windows\system32\p0trs2eo\j001.exe',''); TerminateProcessByName('c:\windows\system32\oarijnro\j001.exe'); QuarantineFile('c:\windows\system32\oarijnro\j001.exe',''); TerminateProcessByName('c:\windows\system32\os17aixz\j001.exe'); QuarantineFile('c:\windows\system32\os17aixz\j001.exe',''); TerminateProcessByName('c:\windows\system32\obtqwcqa\j001.exe'); QuarantineFile('c:\windows\system32\obtqwcqa\j001.exe',''); TerminateProcessByName('c:\windows\system32\n3bdwna8\j001.exe'); QuarantineFile('c:\windows\system32\n3bdwna8\j001.exe',''); TerminateProcessByName('c:\windows\system32\n0claht2\j001.exe'); QuarantineFile('c:\windows\system32\n0claht2\j001.exe',''); TerminateProcessByName('c:\windows\system32\nimazczd\j001.exe'); QuarantineFile('c:\windows\system32\nimazczd\j001.exe',''); TerminateProcessByName('c:\windows\system32\m8nqr3o8\j001.exe'); QuarantineFile('c:\windows\system32\m8nqr3o8\j001.exe',''); TerminateProcessByName('c:\windows\system32\meo41kc3\j001.exe'); QuarantineFile('c:\windows\system32\meo41kc3\j001.exe',''); TerminateProcessByName('c:\windows\system32\mwcmu17o\j001.exe'); QuarantineFile('c:\windows\system32\mwcmu17o\j001.exe',''); TerminateProcessByName('c:\windows\system32\ljkp0134\j001.exe'); QuarantineFile('c:\windows\system32\ljkp0134\j001.exe',''); TerminateProcessByName('c:\windows\system32\li13lfi1\j001.exe'); QuarantineFile('c:\windows\system32\li13lfi1\j001.exe',''); TerminateProcessByName('c:\windows\system32\k2s0ktjf\j001.exe'); QuarantineFile('c:\windows\system32\k2s0ktjf\j001.exe',''); TerminateProcessByName('c:\windows\system32\kcqrbfwf\j001.exe'); QuarantineFile('c:\windows\system32\kcqrbfwf\j001.exe',''); TerminateProcessByName('c:\windows\system32\kur14jha\j001.exe'); QuarantineFile('c:\windows\system32\kur14jha\j001.exe',''); TerminateProcessByName('c:\windows\cl200961.exe'); QuarantineFile('c:\windows\cl200961.exe',''); DeleteFile('c:\windows\cl200961.exe'); DeleteFile('c:\windows\system32\kur14jha\j001.exe'); DeleteFile('c:\windows\system32\kcqrbfwf\j001.exe'); DeleteFile('c:\windows\system32\k2s0ktjf\j001.exe'); DeleteFile('c:\windows\system32\li13lfi1\j001.exe'); DeleteFile('c:\windows\system32\ljkp0134\j001.exe'); DeleteFile('c:\windows\system32\mwcmu17o\j001.exe'); DeleteFile('c:\windows\system32\meo41kc3\j001.exe'); DeleteFile('c:\windows\system32\m8nqr3o8\j001.exe'); DeleteFile('c:\windows\system32\nimazczd\j001.exe'); DeleteFile('c:\windows\system32\n0claht2\j001.exe'); DeleteFile('c:\windows\system32\n3bdwna8\j001.exe'); DeleteFile('c:\windows\system32\obtqwcqa\j001.exe'); DeleteFile('c:\windows\system32\os17aixz\j001.exe'); DeleteFile('c:\windows\system32\oarijnro\j001.exe'); DeleteFile('c:\windows\system32\p0trs2eo\j001.exe'); DeleteFile('c:\windows\system32\p0lr3ek8\j001.exe'); DeleteFile('c:\windows\system32\q0qkgef2\j001.exe'); DeleteFile('c:\windows\system32\qqfzn5ds\j001.exe'); DeleteFile('c:\windows\system32\rhh8wlzs\j001.exe'); DeleteFile('c:\windows\system32\rs6skoyj\j001.exe'); DeleteFile('c:\windows\system32\s22iqtj5\j001.exe'); DeleteFile('c:\windows\system32\tqxyoevj\j001.exe'); DeleteFile('c:\windows\system32\z\j001.exe'); DeleteFile('c:\windows\system32\ttajc71z\j001.exe'); DeleteFile('c:\windows\system32\uscyjar0\j001.exe'); DeleteFile('c:\windows\system32\uehtckou\j001.exe'); DeleteFile('c:\windows\system32\usmj78io\j001.exe'); DeleteFile('c:\windows\system32\vuvqq4jb\j001.exe'); DeleteFile('c:\windows\system32\vew7dibd\j001.exe'); DeleteFile('c:\windows\system32\jx1nihje\j001.exe'); DeleteFile('c:\windows\system32\jn3wrw5e\j001.exe'); DeleteFile('c:\windows\system32\wdcfm7rn\j001.exe'); DeleteFile('c:\windows\system32\wcetsaho\j001.exe'); DeleteFile('c:\windows\system32\xlm57tld\j001.exe'); DeleteFile('c:\windows\system32\xixyblvu\j001.exe'); DeleteFile('c:\windows\system32\ju8hqxw5\j001.exe'); DeleteFile('C:\WINDOWS\system32\cifig.exe'); DeleteFile('C:\WINDOWS\system32\hupyqu.exe'); DeleteFile('C:\WINDOWS\mslsrv32.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup'); DeleteFile('C:\WINDOWS\system32\scmasvstart.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\ScmSrv\Parameters','ServiceDll'); DeleteFile('C:\Documents and Settings\Admin\Шаблоны\WowTumpeh.com'); DeleteFile('%windir%\Tasks\At1.job'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(8); RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + лог http://virusinfo.info/showpost.php?p=493610&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Карантин выслал. Логи прилагаю. ComboFix запустить не удалось, пишет что nod32 запущен, хотя я его вырубил через диспетчер.
После запуска ComboFix и нескольких нажатий ок компютер перезагрузился. У меня стоит автоматическая загрузка deamon tools при запуске windows, так вот он не запустился а выскочила ошибка.
---------------------------
DAEMON Tools Lite
---------------------------
Для этого приложения необходима, как минимум, Windows 2000 и SPTD 1.60 или выше.
Отладчик ядра должен быть деактивирован.
---------------------------
ОК
---------------------------
Также вирус вырубил брадмауер и я не могу его запустить.
Добавлено через 15 минут
Еще после запуска системы через 10-20 мин. выскакивает сообщение
---------------------------
svchost.exe - Ошибка приложения
---------------------------
Инструкция по адресу "0x6f8916e2" обратилась к памяти по адресу "0x6f8916e2". Память не может быть "read".
"ОК" -- завершение приложения
"Отмена" -- отладка приложения
---------------------------
ОК Отмена
---------------------------
После нажатия ок или отмена интернет вырубается. Помогите пожалуйста!!!
Последний раз редактировалось aleg; 02.07.2010 в 13:56. Причина: Добавлено
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ExecuteRepair(10); RebootWindows(true); end.
Пробуйте зайти в безопасный режим и сделать лог ComboFix из него
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
В безопастный зашел. Запустил combofix. Появилось сообщение
---------------------------
Warning !!
---------------------------
ComboFix has detected the following real time scanner(s) to be active:antivirus: ESET NOD32 Antivirus 4.0Antivirus and intrusion prevention programs are known to interferewith ComboFix's running. This may lead to unpredictable results orpossible machine damage.Please disable these scanners before clicking 'OK'.
---------------------------
ОК
---------------------------
Нажал ок, мне выдало следующие
---------------------------
Warning !!
---------------------------
antivirus: ESET NOD32 Antivirus 4.0The above real time scanner(s) are still active but ComboFix shallcontinue to run. Kindly note that this is at your own risk
---------------------------
ОК
---------------------------
Нажал ок, и ничего.
На диске создалась папка c:\ComboFix\CF13804.cfxxe
Подскажите что делать, может деинсталировать nod32?
Деинсталлируйте. Потом заново поставите
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
combofix пишет что у меня нет установленной консоли восстановления, предлагает установить, но я так и не смог этого сделать. Он завершает работу, потом предлагает перезагрузится, но на диске c файла combofix.txt нет, есть только папка combofix, а в ней куча файлов. Можно как то без combofix обойтись, а то у меня уже компютер колбасит, языковая панель исчезает.
Пробуйте еще раз сделать лог. Консоль восстановления можно не устанавливать. Языковую панель приведем в порядок после завершения лечения
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Уже второй день вожусь с combofix, все перепробовал. Он вроди как делает лог, потом просит перезагрузить компютер, захожу на диск C, там две новые папки: ComboFix и Qoobox. Файла ComboFix.txt нет. Что же делать?
Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Сделал.
выполнить скрипт:
повторить логи AVZ и Хиджака.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\Ограниченная\restorer32_a.exe',''); QuarantineFile('C:\WINDOWS\system32\servises.exe',''); DeleteFile('C:\WINDOWS\system32\servises.exe'); QuarantineFile('C:\Documents and Settings\Ограниченная\restorer64_a.exe',''); DeleteFile('C:\Documents and Settings\Ограниченная\restorer64_a.exe'); QuarantineFile(' C:\WINDOWS\explorer.exe:userini.exe',''); DeleteFile(' C:\WINDOWS\explorer.exe:userini.exe'); QuarantineFile('C:\Documents and Settings\Admin\Рабочий стол\YCCY\YCCY.exe',''); DeleteFile('C:\Documents and Settings\Admin\Рабочий стол\YCCY\YCCY.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
А также сделать лог http://virusinfo.info/showpost.php?p=457118&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
При перезагрузке по прежнему руская раскладка пропадает. Пока не вырублю процесс mlyipcm.exe интернет не работает.
Логи сделал.
Когда отключим: Восстановление системы: включено!!! Так до Нового Года биться можем.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Вчера специально смотрел, было отключено. Как включилось, сам в шоке. Отключил.
Повторите скрипт: http://virusinfo.info/showpost.php?p...0&postcount=13
после него повторите логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Вот что мне выдала эта програмулька http://virusinfo.info/showpost.php?p=457118&postcount=1
Что мне удалять из всех этих файлов?
Добавлено через 31 минуту
Подскажите пожалуйста. Боюсь что-то лишнее грохнуть
Последний раз редактировалось aleg; 07.07.2010 в 17:20. Причина: Добавлено
Уважаемый(ая) aleg, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.