Добрый вечер, посмотрите пожалуйста логи и помогите до конца избавиться от зловредов. Комп не выходитна сайты производителей ативирусов и на Ваш форум.
Добрый вечер, посмотрите пожалуйста логи и помогите до конца избавиться от зловредов. Комп не выходитна сайты производителей ативирусов и на Ваш форум.
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); TerminateProcessByName('c:\documents and settings\user\Главное меню\Программы\Автозагрузка\ctfmon.exe'); TerminateProcessByName('c:\documents and settings\user\local settings\temp\~vis0000\fsg_4104.exe'); TerminateProcessByName('c:\windows\system32\xp-3e13c628.exe'); TerminateProcessByName('c:\windows\muis\svchost.exe'); QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\E_4\shell.fne',''); QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\E_4\krnln.fnr',''); QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\E_4\internet.fne',''); QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\E_4\eAPI.fne',''); QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\E_4\dp1.fne',''); QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\E_4\com.run',''); QuarantineFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\ctfmon.exe',''); QuarantineFile('C:\WINDOWS\muis\svchost.exe',''); QuarantineFile('C:\WINDOWS\system32\XP-3E13C628.EXE',''); QuarantineFile('c:\documents and settings\user\local settings\temp\~vis0000\fsg_4104.exe',''); QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\0000510E_Rar\fsg_4104.exe',''); QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\0000511D_Rar\fsg_4104.exe',''); QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\0000513C_Rar\fsg_4104.exe',''); QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\0000514C_Rar\fsg_4104.exe',''); QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\00005227_Rar\fsg_4104.exe',''); QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\00005F08_Rar\fsg_4104.exe',''); QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\0000631F_Rar\fsg_4104.exe',''); QuarantineFile('D:\autorun.inf',''); QuarantineFile('D:\Recycled\ctfmon.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\sptd.sys',''); DeleteFile('D:\Recycled\ctfmon.exe'); DeleteFile('D:\autorun.inf'); DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\0000631F_Rar\fsg_4104.exe'); DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\00005F08_Rar\fsg_4104.exe'); DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\00005227_Rar\fsg_4104.exe'); DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\0000514C_Rar\fsg_4104.exe'); DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\0000513C_Rar\fsg_4104.exe'); DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\0000511D_Rar\fsg_4104.exe'); DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\0000510E_Rar\fsg_4104.exe'); DeleteFile('c:\documents and settings\user\local settings\temp\~vis0000\fsg_4104.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Trickler'); DeleteFile('C:\WINDOWS\system32\XP-3E13C628.EXE'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','XP-3E13C628'); DeleteFile('C:\WINDOWS\muis\svchost.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','svchost.exe'); DeleteFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\ctfmon.exe'); DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\E_4\com.run'); DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\E_4\dp1.fne'); DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\E_4\eAPI.fne'); DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\E_4\internet.fne'); DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\E_4\krnln.fnr'); DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\E_4\shell.fne'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); ExecuteRepair(11); ExecuteRepair(17); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- выполните такой скрипт
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Повторите логи
Карантин выслал
100921_222419_quarantine_4c98f85337e5d.zip
Скрипты выполнил, логи прилагаю. Не могу запустить стандартный AVZ, использую полиморфный.
У Вас файловый вирус, надо лечиться так - http://virusinfo.info/showthread.php?t=15927 со всеми подключенными съёмными устройствами
Посмотрите пожалуйста вот эти логи, это после сканирования KISом на другом компе.
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('D:\autorun.inf',''); DeleteService('abp470n5'); QuarantineFile('C:\WINDOWS\system32\drivers\mmdmln.sys',''); DeleteFile('C:\WINDOWS\system32\drivers\mmdmln.sys'); BC_DeleteSvc('abp470n5'); DeleteFile('D:\autorun.inf'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); ExecuteRepair(17); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- выполните такой скрипт
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Повторите логи
Карантин выслал Файл сохранён как100922_211808_quarantine_4c9a3a50ceb39.zip
Логи прилагаю.
Ничего плохого больше.
Спасибо за помощь
- Microsoft прекратил поддержку и выпуск обновлений безопасности для ОС Windows XP, на которых не установлен Сервис Пак 3. Установите Сервис Пак 3 - возможно потребуется активация. Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите все важные обновления.
- Установите IE 8 - даже если Вы им не пользуетесь.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 72
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\user\\рабочий стол\\лечение\\avz4\\zaf.exe - Virus.Win32.Sality.bh ( DrWEB: Win32.Sector.22, BitDefender: Win32.Sality.3, NOD32: Win32/Sality.NBA virus, AVAST4: Win32:Sality )
- c:\\docume~1\\user\\locals~1\\temp\\winchdg.exe - Trojan.Win32.Vilsel.amrm ( DrWEB: Win32.Sector.22, BitDefender: Win32.Sality.3, NOD32: Win32/Sality.NBA virus, AVAST4: Win32:Sality )
- c:\\docume~1\\user\\locals~1\\temp\\winhwxch.exe - Trojan-Downloader.Win32.Small.jvx ( DrWEB: Trojan.Spambot.3654, BitDefender: Trojan.Generic.3888069, NOD32: Win32/Agent.HLU trojan, AVAST4: Win32:Sality-GR )
- c:\\docume~1\\user\\locals~1\\temp\\winlauon.exe - Trojan.Win32.Vilsel.amrm ( DrWEB: Win32.Sector.22, BitDefender: Win32.Sality.3, NOD32: Win32/Sality.NBA virus, AVAST4: Win32:Sality )
- c:\\program files\\common files\\ahead\\lib\\nerocheck.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.Sector.12, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAU virus, AVAST4: Win32:Kukacka )
- c:\\program files\\messenger\\msmsgs.exe - Packed.Win32.Katusha.o ( DrWEB: Win32.Sector.12, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAU virus, AVAST4: Win32:Kukacka )
- c:\\program files\\mozilla firefox\\firefox.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.Sector.12, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAU virus, AVAST4: Win32:Kukacka )
- c:\\program files\\paragon software\\multilex 7\\multilex.exe - Packed.Win32.Katusha.o ( DrWEB: Win32.Sector.12, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAU virus, AVAST4: Win32:Sality )
- c:\\program files\\winamp\\winamp.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.Sector.12, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAU virus, AVAST4: Win32:Kukacka )
- c:\\progra~1\\common~1\\micros~1\\dw\\dw20.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.Sector.12, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAU virus, AVAST4: Win32:Kukacka )
- c:\\windows\\muis\\svchost.exe - Worm.Win32.Agent.zx ( DrWEB: Trojan.MulDrop.33006, BitDefender: Trojan.Generic.3064505, NOD32: Win32/Delf.NQN worm, AVAST4: Win32:Delf-NZD [Trj] )
- c:\\windows\\system32\\pv6444ce.exe - Trojan.Win32.FlyStudio.acc ( DrWEB: Trojan.FlyClick.1, BitDefender: Gen:Variant.EvilEPL.6, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\w5b07972.exe - Trojan.Win32.FlyStudio.acd ( DrWEB: Trojan.FlyClick.1, BitDefender: Gen:Variant.EvilEPL.6, AVAST4: Win32:ScramFly [Cryp] )
- c:\\windows\\system32\\xp-3e13c628.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.HLLW.Autoruner.7216, BitDefender: Win32.Sality.OG, AVAST4: Win32:Kukacka )
Уважаемый(ая) OlegMal, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.