Банальная ситуация не запускается Каспреский 6.0.3. Помогите пожалуйста.
Банальная ситуация не запускается Каспреский 6.0.3. Помогите пожалуйста.
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\qgs.exe',''); QuarantineFile('D:\QGS.exe',''); QuarantineFile('D:\autorun.inf',''); QuarantineFile('C:\QGS.exe',''); QuarantineFile('C:\autorun.inf',''); QuarantineFile('C:\WINDOWS\system32\drivers\BGS.sys',''); QuarantineFile('c:\windows\system32\wuauolts.exe',''); TerminateProcessByName('c:\windows\system32\wuauolts.exe'); DeleteFile('c:\windows\system32\wuauolts.exe'); DeleteFile('C:\autorun.inf'); DeleteFile('C:\QGS.exe'); DeleteFile('D:\autorun.inf'); DeleteFile('D:\QGS.exe'); DeleteFile('C:\qgs.exe'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(9); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
polword, спасибо большое, помогло !!! Но странно после выполнения скрипта после перезагрузки появился каспер попросил настройки как при установке и перезагрузку, я перезагрузил и он опять ушел в оут, я опять сделал это скрипт и он появился, но не просил настройки. Как будто создается какой-то файл блокируя касперского. Эта не из-за wuauolts.exe - что за файл такой интересный!
Карантин Файл сохранён как 100816_145631_quarantine_4c69195fcaead.zip
поищите файл C:\WINDOWS\system32\drivers\BGS.sys, если найдете заархивируйте его в zip архив с паролем - virus и пришлите по ссылке Прислать запрошенный карантин вверху темы
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); DeleteFile('C:\qgs.exe'); DeleteFile('D:\autorun.inf'); DeleteFile('C:\autorun.inf'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Сделайте повторный лог virusinfo_syscheck.zip;
- Сделайте лог MBAM
касперский заработал после 1 скрипта проверил на вирусы потом перезагрузил и он опять упал сделал скрипт 2. Файл BGS.sys не нашел
1.удалите в MBAM
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.Код:Зараженные ключи в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DSMain.exe (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVPFW.exe (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVStart.exe (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KMailMon.exe (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFWSvc.exe (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatch.exe (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFW.exe (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMon.exe (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMonD.exe (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavStub.exe (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavTask.exe (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safebox.exe (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\alogserv.exe (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avconsol.exe (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avsynmgr.exe (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccregvfy.exe (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\fyfirewall.exe (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kavplus.exe (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kavsvc.exe (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kpopmon.exe (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kwatchui.exe (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navapsvc.exe (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\npfmntor.exe (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravtimer.exe (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwmain.exe (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwsrv.exe (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rsmain.exe (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rsnetsvr.exe (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstray.exe (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rtvscan.exe (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safeboxtray.exe (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\scanfrm.exe (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\trojdie.kxp (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vptray.exe (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vshwin32.exe (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vsmon.exe (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vsstat.exe (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\webscanx.exe (Security.Hijack) -> No action taken. Зараженные параметры в реестре: HKEY_CLASSES_ROOT\exefile\nevershowext (Trojan.Autorun) -> No action taken. Объекты реестра заражены: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken. Зараженные файлы: D:\System Volume Information\_restore{64BD6BE2-BF28-4A52-AAFE-36F0E905888C}\RP38\A0022082.exe (Trojan.Agent) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP72\A0164931.exe (Trojan.Crax) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP72\A0164932.exe (Trojan.Agent.CK) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP72\A0164941.exe (Trojan.Agent.CK) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP72\A0164951.exe (Trojan.Downloader) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP72\A0164974.EXE (Trojan.Downloader) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP72\A0164995.exe (Trojan.Dropper) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP72\A0164997.exe (Trojan.Downloader) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP72\A0165058.exe (Malware.Packer.Gen) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP72\A0165029.exe (Trojan.Downloader) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP72\A0167263.exe (Trojan.Agent.CK) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP72\A0167272.exe (Trojan.Agent.CK) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP72\A0167281.exe (Trojan.Downloader) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP72\A0167304.EXE (Trojan.Downloader) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP72\A0167324.exe (Trojan.Dropper) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP72\A0167326.exe (Trojan.Downloader) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP72\A0167262.exe (Trojan.Crax) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP72\A0167363.exe (Trojan.Downloader) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP72\A0167388.exe (Malware.Packer.Gen) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP73\A0179009.exe (Trojan.Crax) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP73\A0179010.exe (Trojan.Agent.CK) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP73\A0179019.exe (Trojan.Agent.CK) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP73\A0179028.exe (Trojan.Downloader) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP73\A0179051.EXE (Trojan.Downloader) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP73\A0179071.exe (Trojan.Dropper) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP73\A0179073.exe (Trojan.Downloader) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP73\A0179134.exe (Malware.Packer.Gen) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP73\A0179105.exe (Trojan.Downloader) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP74\A0191015.exe (Trojan.Crax) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP74\A0191016.exe (Trojan.Agent.CK) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP74\A0191025.exe (Trojan.Agent.CK) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP74\A0191034.exe (Trojan.Downloader) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP74\A0191057.EXE (Trojan.Downloader) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP74\A0191077.exe (Trojan.Dropper) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP74\A0191079.exe (Trojan.Downloader) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP74\A0191111.exe (Trojan.Downloader) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP74\A0191140.exe (Malware.Packer.Gen) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP74\A0192015.exe (Trojan.Crax) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP74\A0192016.exe (Trojan.Agent.CK) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP74\A0192025.exe (Trojan.Agent.CK) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP74\A0192034.exe (Trojan.Downloader) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP74\A0192057.EXE (Trojan.Downloader) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP74\A0192077.exe (Trojan.Dropper) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP74\A0192079.exe (Trojan.Downloader) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP74\A0192116.exe (Trojan.Downloader) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP74\A0192142.exe (Malware.Packer.Gen) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP74\A0193518.exe (Trojan.Crax) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP74\A0193519.exe (Trojan.Agent.CK) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP74\A0193536.exe (Trojan.Agent.CK) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP74\A0193545.exe (Trojan.Downloader) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP74\A0193568.EXE (Trojan.Downloader) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP74\A0193588.exe (Trojan.Dropper) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP74\A0193590.exe (Trojan.Downloader) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP74\A0193612.exe (Trojan.Downloader) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP75\A0202924.exe (Trojan.Crax) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP75\A0202925.exe (Trojan.Agent.CK) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP75\A0202934.exe (Trojan.Agent.CK) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP75\A0202943.exe (Trojan.Downloader) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP75\A0202966.EXE (Trojan.Downloader) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP75\A0202986.exe (Trojan.Dropper) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP75\A0202988.exe (Trojan.Downloader) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP75\A0203020.exe (Trojan.Downloader) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP75\A0203049.exe (Malware.Packer.Gen) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP77\A0206372.exe (Trojan.Crax) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP77\A0206373.exe (Trojan.Agent.CK) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP77\A0206395.EXE (Trojan.Downloader) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP77\A0206428.exe (Malware.Packer.Gen) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP77\A0206440.exe (Trojan.Downloader) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP77\A0206629.exe (Trojan.Agent.CK) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP77\A0206770.exe (Trojan.Downloader) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP77\A0207427.exe (Trojan.Dropper) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP77\A0207453.exe (Trojan.Downloader) -> No action taken. D:\System Volume Information\_restore{CA83342E-4E15-49F2-8295-A89713A2B919}\RP77\A0208248.exe (Trojan.Downloader) -> No action taken.
Отключите
- ПК от интернета/локалки
- Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('c:\windows\system32\.dll',''); QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\.lnk',''); TerminateProcessByName('c:\windows\system32\wuauolts.exe'); DeleteFile('c:\windows\system32\wuauolts.exe'); DeleteFile('c:\windows\system32\.dll'); DeleteFile('C:\autorun.inf'); DeleteFile('D:\autorun.inf'); DeleteFile('C:\qgs.exe'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(9); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторный лог MBAM
- Сделайте повторный лог virusinfo_syscheck.zip;
удалил то что сказали в MBAM после перезагрузки появился в начале в трее потом быстро исчез после того, как я на него навел стрелкой )) Сделал скрипт появился. Делаю лог MBAM
Карантин Файл сохранён как 100817_142148_quarantine_4c6a62bc3dd76.zip
будем лечиться еще долго......Восстановление системы: включено
Добавлено через 1 минуту
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('C:\Program Files\mosss.exe',''); DeleteFile('C:\autorun.inf'); DeleteFile('D:\autorun.inf'); DeleteFile('C:\qgs.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторный лог virusinfo_syscheck.zip;
Последний раз редактировалось polword; 17.08.2010 в 14:37. Причина: Добавлено
не может быть я убрал галочку
что то C:\qgs.exe не как не хочет удаляться
Карантин Файл сохранён как 100817_162514_quarantine_4c6a7faa1691a.zip
а восстановление отключено могу скрин сделать если хотите
1.удалите в MBAM
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.Код:Зараженные ключи в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DSMain.exe (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVPFW.exe (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVStart.exe (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KMailMon.exe (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFWSvc.exe (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatch.exe (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFW.exe (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMon.exe (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMonD.exe (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavStub.exe (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavTask.exe (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safebox.exe (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\alogserv.exe (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avconsol.exe (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avsynmgr.exe (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccregvfy.exe (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\fyfirewall.exe (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kavplus.exe (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kavsvc.exe (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kpopmon.exe (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kwatchui.exe (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navapsvc.exe (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\npfmntor.exe (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravtimer.exe (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwmain.exe (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwsrv.exe (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rsmain.exe (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rsnetsvr.exe (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstray.exe (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rtvscan.exe (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safeboxtray.exe (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\scanfrm.exe (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\trojdie.kxp (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vptray.exe (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vshwin32.exe (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vsmon.exe (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vsstat.exe (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\webscanx.exe (Security.Hijack) -> No action taken. Зараженные параметры в реестре: HKEY_CLASSES_ROOT\exefile\nevershowext (Trojan.Autorun) -> No action taken.
Отключите
- ПК от интернета/локалки
- Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); DeleteService('aec'); TerminateProcessByName('c:\windows\system32\wuauolts.exe'); DeleteFile('c:\windows\system32\wuauolts.exe'); DeleteFile('C:\WINDOWS\system32\drivers\BGS.sys'); DeleteFile('C:\WINDOWS\system32\.dll'); DeleteFile('C:\autorun.inf'); DeleteFile('D:\autorun.inf'); DeleteFile('C:\qgs.exe'); DeleteFile('C:\Program Files\mosss.exe'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(9); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 27
- В ходе лечения обнаружены вредоносные программы:
- c:\\autorun.inf - Trojan.Win32.AutoRun.wn ( BitDefender: Trojan.Autorun.AEX, NOD32: Win32/AutoRun.Agent.TP worm, AVAST4: VBS:Malware-gen )
- c:\\documents and settings\\all users\\главное меню\\программы\\автозагрузка\\.lnk - Trojan.WinLNK.Agent.ab
- c:\\program files\\mosss.exe - Trojan.Win32.Agent.dbua ( DrWEB: Win32.HLLW.Autoruner.26160, BitDefender: Trojan.Generic.4723073, AVAST4: Win32:AutoRun-BPC [Wrm] )
- c:\\qgs.exe - Trojan.Win32.Agent.dbua ( DrWEB: Win32.HLLW.Autoruner.26160, BitDefender: Trojan.Generic.4723073, AVAST4: Win32:AutoRun-BPC [Wrm] )
- c:\\windows\\system32\\.dll - not-a-virus:Monitor.Win32.ActualSpy.27 ( DrWEB: Trojan.PWS.Qqpass.2371, BitDefender: Trojan.Generic.511425, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\\windows\\system32\\wuauolts.exe - Trojan.Win32.Agent.dbua ( DrWEB: Win32.HLLW.Autoruner.26160, BitDefender: Trojan.Generic.4723073, AVAST4: Win32:AutoRun-BPC [Wrm] )
- d:\\autorun.inf - Trojan.Win32.AutoRun.wn ( BitDefender: Trojan.Autorun.AEX, NOD32: Win32/AutoRun.Agent.TP worm, AVAST4: VBS:Malware-gen )
- d:\\qgs.exe - Trojan.Win32.Agent.dbua ( DrWEB: Win32.HLLW.Autoruner.26160, BitDefender: Trojan.Generic.4723073, AVAST4: Win32:AutoRun-BPC [Wrm] )
Уважаемый(ая) virusOK, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.