Состояние больного ухудшается...
Состояние больного ухудшается...
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); TerminateProcessByName('c:\windows\cfdrive32.exe'); TerminateProcessByName('c:\windows\system32\msvmiode.exe'); TerminateProcessByName('c:\docume~1\2e46~1.spa\locals~1\temp\083.exe'); QuarantineFile('c:\docume~1\2e46~1.spa\locals~1\temp\083.exe',''); TerminateProcessByName('c:\docume~1\2e46~1.spa\locals~1\temp\933.exe'); QuarantineFile('c:\docume~1\2e46~1.spa\locals~1\temp\933.exe',''); QuarantineFile('c:\windows\cfdrive32.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-5241766295-1703896283-813800270-5187\syscr.exe',''); QuarantineFile('C:\Documents and Settings\Администратор.SPACE\Application Data\ltzqai.exe',''); QuarantineFile('C:\WINDOWS\system32\msvmiode.exe',''); QuarantineFile('C:\WINDOWS\system32\14.exe',''); QuarantineFile('C:\WINDOWS\system32\60.exe',''); QuarantineFile('C:\WINDOWS\system32\86.exe',''); QuarantineFile('C:\WINDOWS\system32\00.exe',''); QuarantineFile('C:\WINDOWS\system32\04.exe',''); QuarantineFile('C:\WINDOWS\system32\27.exe',''); QuarantineFile('C:\WINDOWS\cfdrive32.exe',''); DeleteFile('C:\WINDOWS\cfdrive32.exe'); DeleteFile('C:\WINDOWS\system32\27.exe'); DeleteFile('C:\WINDOWS\system32\04.exe'); DeleteFile('C:\WINDOWS\system32\00.exe'); DeleteFile('C:\WINDOWS\system32\86.exe'); DeleteFile('C:\WINDOWS\system32\60.exe'); DeleteFile('C:\WINDOWS\system32\14.exe'); DeleteFile('C:\WINDOWS\system32\msvmiode.exe'); DeleteFile('C:\Documents and Settings\Администратор.SPACE\Application Data\ltzqai.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7'); DeleteFile('C:\RECYCLER\S-1-5-21-5241766295-1703896283-813800270-5187\syscr.exe'); DeleteFile('c:\windows\cfdrive32.exe'); DeleteFile('c:\docume~1\2e46~1.spa\locals~1\temp\933.exe'); DeleteFile('c:\docume~1\2e46~1.spa\locals~1\temp\083.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- выполните такой скрипт
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Повторите логи
- Сделайте лог полного сканирования МВАМ
Проблема не устранена. Высылаю:
Псоле того, что Вы нахватали, она и не будет устранена одним скриптом...
Раз уж Вы удалили всё в МВАМ, не посоветовавшись с нами, повторите лог полного сканирования.
Что да-то да. Под неусыпным взором Аваста. Кстати после первоначального выполнения скрипта диспетчер задач после загрузки в течении часа был чистым. Потом опять повалили.
Они просто не уходят, повторите лог МВАМ, если будут появляться, будем бить по другому.
Высылаю
Удалите в МВАМ -
C:\Downloads\Программы\kak_ubrat_jivot_delaya_tolk o_samoe_neobhodimoe-81299050.exe - доверяете этому файлу? Я бы не стал.Код:Зараженные параметры в реестре: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell (Worm.AutoRun) -> No action taken. Объекты реестра заражены: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (C:\RECYCLER\S-1-5-21-5536871199-2427011081-806698079-7191\syscr.exe,explorer.exe,C:\DOCUME~1\2E46~1.SPA\LOCALS~1\Temp\478.exe,Explorer.exe) Good: (Explorer.exe) -> No action taken. Зараженные файлы: C:\Documents and Settings\Администратор.SPACE\Local Settings\Temp\06149.exe (Heuristics.Shuriken) -> No action taken. C:\Documents and Settings\Администратор.SPACE\Local Settings\Temp\4544443.exe (Heuristics.Shuriken) -> No action taken. C:\Documents and Settings\Администратор.SPACE\Local Settings\Temp\6790.exe (Heuristics.Shuriken) -> No action taken. C:\Documents and Settings\Администратор.SPACE\Local Settings\Temporary Internet Files\Content.IE5\IDQXSHLS\ci[1].exe (Heuristics.Shuriken) -> No action taken. C:\Documents and Settings\Администратор.SPACE\Local Settings\Temporary Internet Files\Content.IE5\IDQXSHLS\ci[2].exe (Heuristics.Shuriken) -> No action taken. C:\WINDOWS\system32\msvmiode.exe (Heuristics.Shuriken) -> No action taken.
Всё поудалял. После перезагрузки в диспетчере задач всплыли: cfdriveexe в двух экземплярах масса файлов типа: 95844,exe, 009.exe, неизменный msvmiode.exe в двух экземплярах. При загрузке сразу открывается папка "Мои документы".
Не хотят по хорошему - сделайте лог ComboFix
Жесткий товарищ ComboFix
Что дальше? На этом всё? После перезапуска в диспетчере вредоносники отсутствуют, но аваст при загрузке ругнулся и удалил два вирусняка.
Плохого не видно
Удалите ComboFix
WebMoney Advisor переустановите
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Повторяется все заново: те же вирусняки. Прикрепляю лог.
Лучше их Комбофиксить, сделайте лог Комбофикс.
Дыра еще та. Обновляйте систему, иначе до зимы не управимсяPlatform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 36
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\администратор.space\\application data\\ltzqai.exe - Trojan.Win32.Jorik.SdBot.dr ( DrWEB: Trojan.DownLoader1.24049, BitDefender: Trojan.Generic.4923560, NOD32: Win32/Bflient.K worm, AVAST4: Win32:Malware-gen )
- c:\\docume~1\\2e46~1.spa\\locals~1\\temp\\933.exe - Trojan.Win32.VB.akzp ( DrWEB: Trojan.Siggen.465, BitDefender: Trojan.Generic.5074968, NOD32: Win32/SpamTool.Tedroo.AN trojan, AVAST4: Win32:VB-QDE [Trj] )
- c:\\recycler\\s-1-5-21-5241766295-1703896283-813800270-5187\\syscr.exe - P2P-Worm.Win32.Palevo.awfq ( DrWEB: Trojan.Inject.10808, BitDefender: Trojan.Generic.5361958, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\msvmiode.exe - Trojan.Win32.VB.akzp ( DrWEB: Trojan.Siggen.465, BitDefender: Trojan.Generic.5074968, NOD32: Win32/SpamTool.Tedroo.AN trojan, AVAST4: Win32:VB-QDE [Trj] )
- c:\\windows\\system32\\00.exe - P2P-Worm.Win32.Palevo.awfq ( DrWEB: Trojan.Inject.10808, BitDefender: Trojan.Generic.5361958, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\04.exe - P2P-Worm.Win32.Palevo.awfq ( DrWEB: Trojan.Inject.10808, BitDefender: Trojan.Generic.5361958, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\14.exe - P2P-Worm.Win32.Palevo.awfq ( DrWEB: Trojan.Inject.10808, BitDefender: Trojan.Generic.5361958, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\27.exe - P2P-Worm.Win32.Palevo.awfq ( DrWEB: Trojan.Inject.10808, BitDefender: Trojan.Generic.5361958, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\60.exe - P2P-Worm.Win32.Palevo.awfq ( DrWEB: Trojan.Inject.10808, BitDefender: Trojan.Generic.5361958, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\86.exe - P2P-Worm.Win32.Palevo.awfq ( DrWEB: Trojan.Inject.10808, BitDefender: Trojan.Generic.5361958, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
Уважаемый(ая) pas2000, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.