Пропал доступ к сетевому принтеру. Не открываются сайты DrWeb и Virusinfo.
Пропал доступ к сетевому принтеру. Не открываются сайты DrWeb и Virusinfo.
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - D:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll (file missing) R3 - URLSearchHook: (no name) - - (no file) O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ6\ICQ.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ6\ICQ.exe (file missing) O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe (file missing)
Компьютер перезагрузится.Код:Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean; var i : integer; KeyList : TStringList; KeyName : string; begin RegKeyResetSecurity(ARoot, AName); KeyList := TStringList.Create; RegKeyEnumKey(ARoot, AName, KeyList); for i := 0 to KeyList.Count-1 do begin KeyName := AName+'\'+KeyList[i]; RegKeyResetSecurity(ARoot, KeyName); RegKeyResetSecurityEx(ARoot, KeyName); end; KeyList.Free; end; Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte; var i : integer; KeyList : TStringList; KeyName : string; begin Result := 0; if StopService(AServiceName) then Result := Result or 1; if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2; KeyList := TStringList.Create; RegKeyEnumKey('HKLM','SYSTEM', KeyList); for i := 0 to KeyList.Count-1 do if pos('controlset', LowerCase(KeyList[i])) > 0 then begin KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName; if RegKeyExistsEx('HKLM', KeyName) then begin Result := Result or 4; RegKeyResetSecurityEx('HKLM', KeyName); RegKeyDel('HKLM', KeyName); if RegKeyExistsEx('HKLM', KeyName) then Result := Result or 8; end; end; if AIsSvcHosted then BC_DeleteSvcReg(AServiceName) else BC_DeleteSvc(AServiceName); KeyList.Free; end; begin SearchRootkit(true, true); SetAVZGuardStatus(True); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{F802F260-519B-11D1-BB5D-0060974C6013}'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{73B24247-042E-4EF5-ADC2-42F62E6FD654}'); DeleteFile('D:\WINDOWS\system32\01.tmp'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('abwhq'); BC_DeleteSvc('cfvfhogr'); BC_DeleteSvc('cwpif'); BC_DeleteSvc('dqezqikl'); BC_DeleteSvc('ffhctbe'); BC_DeleteSvc('flzpgta'); BC_DeleteSvc('ijrdjzeu'); BC_DeleteSvc('jphhw'); BC_DeleteSvc('kplgsfm'); BC_DeleteSvc('ktknx'); BC_DeleteSvc('lpkpptojw'); BC_DeleteSvc('mesmqnjdn'); BC_DeleteSvc('mhndcfobb'); BC_DeleteSvc('miurli'); BC_DeleteSvc('mlpnm'); BC_DeleteSvc('neazsyga'); BC_DeleteSvc('nhsvgc'); BC_DeleteSvc('noqjppk'); BC_DeleteSvc('nznwa'); BC_DeleteSvc('ofpiyosff'); BC_DeleteSvc('olqqolem'); BC_DeleteSvc('ooopmh'); BC_DeleteSvc('pfxsf'); BC_DeleteSvc('qwecbotcd'); BC_DeleteSvc('qznckgq'); BC_DeleteSvc('xajhobeck'); BC_DeleteSvc('zigfsp'); BC_DeleteSvc('zkokzj'); BC_ServiceKill('pqgkgb'); BC_ServiceKill('slptmg'); BC_ServiceKill('zqbpvtw'); BC_Activate; RebootWindows(true); end.
Сделайте новые логи.
I am not young enough to know everything...
Новые логи.
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); QuarantineFile('D:\WINDOWS\system32\fbca9d1.exe',''); DeleteFile('D:\WINDOWS\system32\fbca9d1.exe'); ClearHostsFile; QuarantineFile('D:\WINDOWS\system32\cvvnaep.dll',''); DeleteFile('D:\WINDOWS\system32\cvvnaep.dll'); DeleteFileMask('D:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Сделайте лог MBAM
Карантин выслал.
Вот новые логи.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- d:\\windows\\system32\\cvvnaep.dll - Net-Worm.Win32.Kido.ih ( DrWEB: Win32.HLLW.Shadow.based, BitDefender: Win32.Worm.Downadup.Gen, NOD32: Win32/Conficker.X worm, AVAST4: Win32:Confi [Wrm] )
- d:\\windows\\system32\\fbca9d1.exe - Trojan.Win32.Refroso.cfgv ( DrWEB: Trojan.MulDrop.64715, BitDefender: Trojan.Generic.5052714, AVAST4: Win32:Malware-gen )
Уважаемый(ая) IvanR, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.