Попался рекламный вирус, выскакивает сразу при загрузке винды.
В безопасном режиме удалось запустить AVZ и исследовать систему.
Попался рекламный вирус, выскакивает сразу при загрузке винды.
В безопасном режиме удалось запустить AVZ и исследовать систему.
вот все сделал согласно правилам
-Пофиксите:
Выполните скрипт в AVZКод:F2 - REG:system.ini: Shell=C:\Documents and Settings\Admin\Рабочий стол\vip_porno_65673.avi.exe F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\c4e5855d.exe,\\?\globalroot\systemroot\system32\Yx3yzEn.exe, O4 - HKCU\..\Run: [shell] C:\Program Files\Common Files\IntraVision Soft\lsass.exe O4 - Startup: syscron.exe
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\clonereree.exe\clonereree.exe',''); QuarantineFile('\\?\globalroot\systemroot\system32\Yx3yzEn.exe',''); QuarantineFile('C:\WINDOWS\system32\c4e5855d.exe',''); QuarantineFile('C:\WINDOWS\fldfndr.exe',''); QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\syscron.exe',''); QuarantineFile('C:\Documents and Settings\Admin\Рабочий стол\vip_porno_65673.avi.exe',''); QuarantineFile('C:\Program Files\Common Files\IntraVision Soft\lsass.exe',''); DeleteFile('C:\Program Files\Common Files\IntraVision Soft\lsass.exe'); DeleteFile('C:\Documents and Settings\Admin\Рабочий стол\vip_porno_65673.avi.exe'); DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\syscron.exe'); DeleteFile('C:\WINDOWS\fldfndr.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Folder Defender'); DeleteFile('C:\WINDOWS\system32\c4e5855d.exe'); DeleteFile('\\?\globalroot\systemroot\system32\Yx3yzEn.exe'); DeleteFile('C:\clonereree.exe\clonereree.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','clonereree.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','clonereree.exe'); RegKeyParamDel('HKEY_USERS','S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Run','clonereree.exe'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','clonereree.exe'); DeleteFileMask('C:\clonereree.exe', '*.*', true); DeleteDirectory('C:\clonereree.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Обновите базы AVZ
Сделайте новые логи в нормальном режиме
Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
Последний раз редактировалось Rene-gad; 13.08.2010 в 20:03. Причина: не всё нашёл ;)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Все стано нормально работать, осталась одна пробле: после вируса все браузеры выдают следующий текст:
Браузер блокирует передачу данных, осуществляемую вредоносным программным обеспечением!
Устранить проблему может:
Pro-Doctor 2010 (нажмите сюда, чтоб произвести онлайн проверку)
BitDefender
VBA32 Antivirus
Выполните скрипт в AVZ
- Закачайте файл avz_quarantine.zip с Рабочего Стола для анализа.Код:begin QuarantineFile('C:\WINDOWS\system32\dvmurl.dll',''); CreateQurantineArchive('%userprofile%\desktop\avz_quarantine.zip'); end.
Карантин пуст
А также
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\ce62f8a1.exe',''); QuarantineFile('C:\WINDOWS\system32\ddc863b9.exe',''); DeleteFile('C:\WINDOWS\system32\ddc863b9.exe'); DeleteFile('C:\WINDOWS\system32\ce62f8a1.exe'); DeleteFile('C:\Documents and Settings\Admin\Application Data\kgcDh.txt'); DeleteFile('C:\Documents and Settings\Admin\Application Data\C87J1.txt'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи RSIT
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Все операции проделал
MPK\Free KGB Keylogger - сами устанавливали?
Удалите в МВАМ
Код:Зараженные параметры в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken. Зараженные файлы: C:\System Volume Information\_restore{5A579516-8362-49F7-A512-4002891D033C}\RP1\A0003404.exe (Virus.Expiro) -> No action taken. C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken. C:\Documents and Settings\Admin\Local Settings\Temp\0.7064135115773789.exe (Trojan.Dropper) -> No action taken. C:\Documents and Settings\Admin\Local Settings\Temp\0.8501226342032827.exe (Trojan.Dropper) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
да, кейлогеры собственной установки
удалил все что сказали, всеравно появляется надпись в браузерах
Сделайте лог http://virusinfo.info/showpost.php?p=493610&postcount=1
Не исключено, что эта программа удалит Ваш кейлоггер
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
лог
Что теперь с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\ce62f8a1.exe - Backdoor.Win32.Shiz.ru ( DrWEB: Trojan.Packed.20771, BitDefender: Backdoor.Generic.431009, AVAST4: Win32:MalOb-DS [Cryp] )
- c:\\windows\\system32\\ddc863b9.exe - Backdoor.Win32.Shiz.ru ( DrWEB: Trojan.Packed.20771, BitDefender: Backdoor.Generic.431009, AVAST4: Win32:MalOb-DS [Cryp] )
Уважаемый(ая) DmitryTinne, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.