Хочу знать все ли чисто.
Хочу знать все ли чисто.
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelCLSID('{67KLN5K0-4OPM-00WE-AAX5-27EF1D187263}'); DelCLSID('{67KLN5J0-4OPM-33WE-AAX5-21KC2A1112233}'); QuarantineFile('C:\WINDOWS\system32\ieudinit.exe',''); QuarantineFile('C:\MEMO\AFANDY\april2x3.exe',''); QuarantineFile('C:\EQUITY\Q-5-6-99-222222CCCC-333333333333-7777777777-111\Fix.exe',''); QuarantineFile('C:\WINDOWS\TEMP\Nn0.exe',''); QuarantineFile('c:\windows\system32\wuaucldt.exe',''); QuarantineFile('C:\WINDOWS\services.exe',''); QuarantineFile('C:\WINDOWS\TEMP\Nn1.exe',''); QuarantineFile('C:\Documents and Settings\Admin\ncghwdnhњ.exe',''); QuarantineFile('C:\Documents and Settings\Admin\ncghwdnh.exe',''); QuarantineFile('C:\Documents and Settings\Admin\Application Data\rundll32.exe',''); DeleteFile('C:\Documents and Settings\Admin\ncghwdnh.exe'); DeleteFile('C:\Documents and Settings\Admin\ncghwdnhњ.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ncghwdnhњ'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ncghwdnh'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SunJavaUpdateSched'); DeleteFile('C:\WINDOWS\TEMP\Nn1.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','3FWHZQA3LT'); DeleteFile('C:\WINDOWS\services.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','services'); DeleteFile('c:\windows\system32\wuaucldt.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt'); DeleteFile('C:\WINDOWS\TEMP\Nn0.exe'); DeleteFile('C:\EQUITY\Q-5-6-99-222222CCCC-333333333333-7777777777-111\Fix.exe'); DeleteFile('C:\MEMO\AFANDY\april2x3.exe'); QuarantineFile('c:\windows\system32\wmsrvc.exe',''); DeleteFile('c:\windows\system32\wmsrvc.exe'); ClearHostsFile; DeleteFileMask('C:\MEMO', '*.*', true); DeleteDirectory('C:\MEMO'); DeleteFile('%windir%\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job'); DeleteFile('%windir%\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(16); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Вот, пожалуйста.
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); DeleteFile('C:\WINDOWS\System32\ncghwdnhњ.exe'); DeleteFile('C:\WINDOWS\System32\ncghwdnh.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ncghwdnhњ'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ncghwdnh'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32'); DeleteFile('C:\WINDOWS\system32\regedit.exe'); DeleteFile('c:\documents and settings\admin\wuaucldt.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(9); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторный лог virusinfo_syscheck.zip;
- Сделайте лог MBAM
Карантин прикрепил. Вот логи.
- удалите в MBAM
повторите логКод:Зараженные ключи в реестре: HKEY_CLASSES_ROOT\CLSID\{6d125299-c2a9-4dbc-bec3-6f7124e39a41} (Adware.FieryAds) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{67kln5k0-4opm-00we-aax5-27ef1d187263} (Backdoor.IRCBot) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{6d125299-c2a9-4dbc-bec3-6f7124e39a41} (Adware.FieryAds) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d125299-c2a9-4dbc-bec3-6f7124e39a41} (Adware.FieryAds) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6d125299-c2a9-4dbc-bec3-6f7124e39a41} (Adware.FieryAds) -> No action taken. HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe (Security.Hijack) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FieryAds (Adware.FieryAds) -> No action taken. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\3FWHZQA3LT (Trojan.FakeAlert) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\SMH2B46TDP (Trojan.FakeAlert) -> No action taken. Зараженные параметры в реестре: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\host (Malware.Trace) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\id (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Services\del (Malware.Trace) -> No action taken. Зараженные папки: C:\Documents and Settings\Admin\Application Data\FieryAds (Adware.FieryAds) -> No action taken. C:\Program Files\Microsoft Common (Trojan.Agent) -> No action taken. C:\EQUITY\Q-5-6-99-222222CCCC-333333333333-7777777777-111 (Backdoor.IRCBot) -> No action taken. Зараженные файлы: C:\WINDOWS\system32\qqnt.bno (Trojan.Dropper.Gen) -> No action taken. C:\EQUITY\Q-5-6-99-222222CCCC-333333333333-7777777777-111\Desktop.ini (Backdoor.IRCBot) -> No action taken. C:\Documents and Settings\Admin\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken. C:\Documents and Settings\Admin\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> No action taken. C:\Documents and Settings\Admin\Application Data\rmhzb.exe (Worm.Palevo) -> No action taken.
Сделал.
чисто
Добавлено через 48 секунд
Обновите систему
- Поставте все последние обновления системы Windows - тут
- поставте Adobe Reader 9.3 или удалите старый.
Последний раз редактировалось polword; 28.09.2010 в 15:34. Причина: Добавлено
Спасибо огромное за помощь!!
при загрузке в безопасном режиме, по-прежнему, выдает BSOD...дампы не сохраняются
- Выполните скрипт в AVZ
Код:begin ExecuteRepair(10); ExecuteRepair(6); ExecuteRepair(8); RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); RebootWindows(true); end.
Все получилось, спасибо!
А в чем была проблема?
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\temp\\nn0.exe - Trojan-Downloader.Win32.FraudLoad.xjog ( DrWEB: Trojan.DownLoad2.16745, BitDefender: Gen:Heur.FKP.1, AVAST4: Win32:MalOb-BX [Cryp] )
- c:\\windows\\temp\\nn1.exe - Packed.Win32.Katusha.n ( DrWEB: Trojan.Siggen2.3493, BitDefender: Gen:Heur.FKP.1, NOD32: Win32/TrojanDownloader.FakeAlert.BEK trojan, AVAST4: Win32:MalOb-BX [Cryp] )
Уважаемый(ая) Ven, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.