Высылаю логи с компьютера, который использует для выхода в Интернет рсшаренный ADSL-модем на другом компьютере, но, судя по тому, как он последнее время "тормозит"... с ним тоже не все в порядке.
Высылаю логи с компьютера, который использует для выхода в Интернет рсшаренный ADSL-модем на другом компьютере, но, судя по тому, как он последнее время "тормозит"... с ним тоже не все в порядке.
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:SearchRootkit(true, true); SetAVZGuardStatus(true); TerminateProcessByName('c:\windows\system32\ponnol.exe'); QuarantineFile('C:\WINDOWS\system32\vouhu.exe',''); QuarantineFile('C:\WINDOWS\system32\hojygouj.exe',''); QuarantineFile('c:\windows\system32\ponnol.exe',''); QuarantineFile('C:\Documents and Settings\penguin\Application Data\ozzfhv.exe',''); DeleteFile('C:\Documents and Settings\penguin\Application Data\ozzfhv.exe'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); ExecuteRepair(11); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- выполните такой скрипт
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Скрипты выполнены.
Карантин отправлен.
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('c:\windows\system32\ponnol.exe'); DeleteFile('C:\WINDOWS\system32\vouhu.exe'); DeleteFile('C:\WINDOWS\system32\hojygouj.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Повторите логи АВЗ + сделайте лог MBAM
Скрипт выполнил.
Логи прилагаю
Удалите в MBAM
Код:Зараженные параметры в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken. Зараженные папки: C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66} (Trojan.Kerlofost) -> No action taken. C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome (Trojan.Kerlofost) -> No action taken. C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content (Trojan.Kerlofost) -> No action taken. C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\defaults (Trojan.Kerlofost) -> No action taken. C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\defaults\preferences (Trojan.Kerlofost) -> No action taken. Зараженные файлы: C:\Documents and Settings\penguin\Local Settings\Temp\795.exe (Trojan.Downloader) -> No action taken. C:\Documents and Settings\penguin\msgvn.exe (Trojan.Downloader) -> No action taken. C:\Documents and Settings\penguin\Local Settings\Temporary Internet Files\Content.IE5\8TKNCR8Z\loader[1].exe (Trojan.Downloader) -> No action taken. C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome.manifest (Trojan.Kerlofost) -> No action taken. C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\extension.reg (Trojan.Kerlofost) -> No action taken. C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\install.rdf (Trojan.Kerlofost) -> No action taken. C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\extensions.xul (Trojan.Kerlofost) -> No action taken. C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\logo.png (Trojan.Kerlofost) -> No action taken. C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\main.js (Trojan.Kerlofost) -> No action taken. C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\main.xul (Trojan.Kerlofost) -> No action taken. C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\q.png (Trojan.Kerlofost) -> No action taken. C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\q_gray.png (Trojan.Kerlofost) -> No action taken. C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\x.png (Trojan.Kerlofost) -> No action taken. C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\x_gray.png (Trojan.Kerlofost) -> No action taken. C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\defaults\preferences\main.js (Trojan.Kerlofost) -> No action taken. C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\defaults\preferences\main.js.old (Trojan.Kerlofost) -> No action taken. C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken. C:\Documents and Settings\penguin\Local Settings\Temp\utt685.tmp.exe (Trojan.Pakes) -> No action taken. C:\WINDOWS\logfile32.txt (Malware.Trace) -> No action taken.
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\ipsecndis.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\ntndis.sys',''); QuarantineFile('C:\Documents and Settings\penguin\msgvn.exe',''); QuarantineFile('C:\WINDOWS\system32\quizabonnaqu.exe',''); QuarantineFile('C:\WINDOWS\system32\zoocou.exe',''); QuarantineFile('C:\WINDOWS\nVGA_i2c.dll',''); DeleteFile('C:\Documents and Settings\penguin\msgvn.exe'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); ExecuteRepair(11); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- выполните такой скрипт
Пришлите файл quarantine2.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip'); end.
- Повторите те же логи.
Исполнил...
Удалите в MBAM -
Код:Зараженные ключи в реестре: HKEY_CLASSES_ROOT\reklosoft_adw.helper_bar (Trojan.Kerlofost) -> No action taken. HKEY_CLASSES_ROOT\rs_adw.helper_bar.1 (Trojan.Kerlofost) -> No action taken. HKEY_CLASSES_ROOT\rs_adw.helper_bho (Trojan.Kerlofost) -> No action taken. HKEY_CLASSES_ROOT\rs_adw.helper_bho.1 (Trojan.Kerlofost) -> No action taken. HKEY_CLASSES_ROOT\Interface\{e743cf05-181c-4d72-b4ee-95435ed4b86b} (Trojan.BHO) -> No action taken. HKEY_CLASSES_ROOT\Interface\{f1287389-b2fe-4315-8484-540b2033646d} (Trojan.BHO) -> No action taken. HKEY_CLASSES_ROOT\AppID\{d96fa298-1bb6-47fc-ad21-72781b744dc3} (Adware.Reklosoft) -> No action taken. HKEY_CLASSES_ROOT\Typelib\{2552632f-867d-4052-b836-7f83a5302534} (Trojan.BHO) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{71e59d37-d7fc-4ed6-bc1d-d13be02fe6c5} (Trojan.Kerlofost) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{71e59d37-d7fc-4ed6-bc1d-d13be02fe6c5} (Trojan.Kerlofost) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\AGprotect (Malware.Trace) -> No action taken. HKEY_CLASSES_ROOT\AppID\rs_adw.DLL (Trojan.Agent) -> No action taken. Зараженные файлы: C:\WINDOWS\system32\ipsecndis.sys (Rootkit.Agent) -> No action taken. C:\WINDOWS\system32\Drivers\ntndis.sys (Rootkit.Agent) -> No action taken.
Выполните скрипт в АВЗ в безопасном режиме -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('C:\Documents and Settings\penguin\msgvn.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Повторите лог virusinfo_syscure.zip
Выполнить скрипт:
Прислать карантин на проверку.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\penguin\msgvn.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys',''); QuarantineFile('C:\WINDOWS\system32\zoocou.exe',''); QuarantineFile('C:\WINDOWS\system32\quizabonnaqu.exe',''); DeleteService('d2yuaopatxaos87'); BC_DeleteFile('C:\WINDOWS\system32\quizabonnaqu.exe'); DeleteFile('C:\WINDOWS\system32\zoocou.exe'); DeleteFile('C:\WINDOWS\system32\Drivers\NDIS.sys'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Исполнение последнего скрипта закончилось
полной "изоляцией" компьютера:
Все сетевые устройства (Сntrol panel->System->Hardware->Device Manager-> Network adapters) "лишились драйверов" (см. скриншот, переустановка не проходит), раздел Netware Connections - пуст, USB-флешки не читает и предлагает переразметить.
HELP!!!!
- восстановите файл C:\WINDOWS\system32\Drivers\NDIS.sys на чистый из дистрибутива.
А также скачайте файл во вложении, распакуйте и внесите информацию в реестр двойным кликом левой кнопки мыши
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 34
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\penguin\application data\ozzfhv.exe - Trojan.Win32.Pincav.adrl ( DrWEB: Win32.HLLW.Autoruner.22584, BitDefender: Gen:Variant.Bredo.2, AVAST4: Win32:Bredolab-DO [Trj] )
- c:\documents and settings\penguin\msgvn.exe - P2P-Worm.Win32.Palevo.atba ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Win32.Worm.Rimecud.Y, AVAST4: Win32:Fitmu-B [Spy] )
- c:\windows\system32\drivers\ndis.sys - Virus.Win32.Protector.f ( DrWEB: BackDoor.Bulknet.417, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.B virus, AVAST4: Win32:Malware-gen )
- c:\windows\system32\hojygouj.exe - HEUR:Trojan.Win32.Generic ( BitDefender: Gen:Variant.Bredo.2, AVAST4: Win32:Warezov-MF [Wrm] )
- c:\windows\system32\vouhu.exe - HEUR:Trojan.Win32.Generic ( BitDefender: Gen:Variant.Bredo.2, AVAST4: Win32:Warezov-MF [Wrm] )
Уважаемый(ая) AYB, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.