-
Junior Member
- Вес репутации
- 51
Не могу избавиться от вирусов.
Не могу излечить комп от вирусов, пробовал всем, чем только можно, не помогает.
Особенно вирусы активизируются при соединении с интернетом.
Первым делом ругается на файл svchost.exe
Из набора Win32/Tenga.gen
Win32/Tifaut.C
Win32/Packed.Autoit.Gen
Win32/Statik
Создаются исполнеяемые файлы в папках с некоторыми программами Yiobei.exe APPRinT.exe
Обнаруживаются в реестре \_restore\{A0D0F7FE-BCD4-4E7C-BB4E-4B085DA8F30A}\RP767\A00735507.exe
и т.д.
Последний раз редактировалось Seizon; 06.08.2010 в 12:46.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\WINDOWS\system32\mweqsih.exe','');
QuarantineFile('C:\WINDOWS\system32\srvany.exe','');
QuarantineFile('C:\WINDOWS\system\csrss.exe','');
DeleteService('NrConnmags');
QuarantineFile('c:\windows\system32\hgpasvstart.dll','');
DeleteFile('C:\WINDOWS\system\csrss.exe');
BC_ImportAll;
ExecuteSysClean;
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\BITS', 'ImagePath', 'REG_EXPAND_SZ', '%SystemRoot%\System32\svchost.exe -k netsvcs');
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'ImagePath', 'REG_EXPAND_SZ', '%SystemRoot%\System32\svchost.exe -k netsvcs');
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Установите Сервис Пак 3 - возможно потребуется активация. Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите все важные обновления.
- Установите IE 8 - даже если Вы им не пользуетесь.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
Последний раз редактировалось Rene-gad; 06.08.2010 в 13:05.
-
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Скачал и установил SP3 и IE8, не могу никак установить обновления - выдает ошибку 0x80070424.
Инет жутко тормозит.
Сделал новые логи
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mweqsih.exe','');
DeleteService('HMDS606Ver2.0');
DeleteService('vsd');
DeleteService('rcmd');
QuarantineFile('c:\windows\system32\hgpasvstart.dll','');
QuarantineFile('C:\WINDOWS\System32\hgpasclib.dll','');
QuarantineFile('c:\windows\system32\swcswq.exe','');
QuarantineFile('c:\windows\system32\kbax4jhj\p001.exe','');
QuarantineFile('c:\windows\system32\lsw01zcm\h001.exe','');
QuarantineFile('c:\windows\system32\kbax4jhj\e001.exe','');
DeleteFile('c:\windows\system32\kbax4jhj\e001.exe');
DeleteFile('c:\windows\system32\lsw01zcm\h001.exe');
DeleteFile('c:\windows\system32\kbax4jhj\p001.exe');
DeleteFile('c:\windows\system32\swcswq.exe');
DeleteFile('C:\WINDOWS\system32\mweqsih.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\HgpSrv\Parameters','ServiceDll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\huadio.tmp
c:\windows\system32\hgpasclib.dll
c:\windows\system32\hgpasvstart.dll
Driver::
autorun
HMDS606Ver2.0
vsd
rcmd
HgpSrv
Folder::
c:\windows\system32\LSW01ZCM
c:\windows\system32\KBAX4JHJ
c:\windows\system32\GDFZ8AH3
c:\windows\system32\FPDXH2BR
c:\windows\system32\74O4WUD8
c:\windows\system32\5T013SEZ
c:\windows\system32\5PKGLNBT
c:\windows\system32\4L4V1H7N
c:\windows\system32\4POGGY8J
c:\windows\system32\4M8VWT5E
c:\windows\system32\4E8QY61C
c:\windows\system32\4ISBDO27
c:\windows\system32\4EDQTIZ1
c:\windows\system32\XBNTWM2D
c:\windows\system32\W4DHLMGR
c:\windows\system32\TG4GO68E
c:\windows\system32\Q06SK34C
c:\windows\system32\t
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
"HglSrv"=-
"HgpSrv"=-
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
-
Папку c:\windows\system32\DZNK3CAL удалите вручную.
Что сейчас с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Никаких признаков активности не видно.
Спасибо огромное!
-
Удалите ComboFix
Пофиксите в HiJack
Код:
O2 - BHO: FlashGetBHO - {B05CB5FE-1E22-43C7-93E2-4CF04C87B3CC} - (no file)
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
Больше ничего необычного
Установите Acrobat Reader 9.3 или удалите старый
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Пофиксил. Только вот этого там не нашел:
Код:
O2 - BHO: FlashGetBHO - {B05CB5FE-1E22-43C7-93E2-4CF04C87B3CC} - (no file)
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\hgpasclib.dll - Net-Worm.Win32.Kolab.kbs ( DrWEB: Trojan.MulDrop1.41652, BitDefender: DeepScan:Generic.Malware.WX!.A13C76F4, AVAST4: Win32:Malware-gen )
- c:\windows\system32\hgpasvstart.dll - Net-Worm.Win32.Kolab.kbq ( DrWEB: Trojan.MulDrop1.41654, BitDefender: DeepScan:Generic.Malware.WX!.B215EDBD, AVAST4: Win32:Malware-gen )
- c:\windows\system32\kbax4jhj\e001.exe - Backdoor.Win32.Krafcot.zc ( DrWEB: Trojan.DownLoad.50456, BitDefender: Trojan.Generic.4310109, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\kbax4jhj\p001.exe - Backdoor.Win32.Xyligan.aet ( DrWEB: Trojan.DownLoad1.58649, AVAST4: Win32:PcClient-ZE [Trj] )
- c:\windows\system32\lsw01zcm\h001.exe - Trojan.Win32.Scar.copa ( DrWEB: Trojan.PWS.Stealer.310, AVAST4: Win32:Malware-gen )
-