вирусы

[kknz]

где то три месяца назад подцепил вирус - баннер, но нашел к нему код в инете.. почистил разными антивирусами и забыл..
сейчас комп при подключении к инету начинает серфить интернет через порты 443, 80, 25.. и шлет спам - сети к которым я подключаюсь попадают в спам-листы. Проверил доктор-вебом нашлись и удалились порядка шести разновидностей вирусов. в итоге сделал все по инструкции в правилах. Помогите пожалуйста! Еще часто возникает синий экран смерти..

[olejah]

Скачайте "OSAM" Online Solutions Autorun Manager. В меню драйверов правой кнопкой по fgdgoio и sqwhlann и выберите "Turn Run Off". Перезагрузку подтвердите.

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 DeleteService('0e53ee7e2f199d85');
 DeleteService('20e5a7614ac15320');
 DeleteService('332ba07e39b2f9e0');
 DeleteService('41c0a2a3b8f34639');
 DeleteService('432ac33e742f075e');
 DeleteService('6c5f5b0a1ef7e312');
 DeleteService('7364f9384fdcdead');
 DeleteService('744f7b5288715255');
 DeleteService('8a7e2c8399a33463');
 DeleteService('907c005dcc7083f7');
 DeleteService('96399ebea0f4a3be');
 DeleteService('c05cc1ef0f3c2d60');
 DeleteService('da9b60cd74a56ab8');
 DeleteService('dd3ffe1164238909');
 DeleteService('f3abeeac9387297a');
 QuarantineFile('C:\WINDOWS\TEMP\180004ed1cdf6','');
 QuarantineFile('C:\WINDOWS\TEMP\18000629500df','');
 QuarantineFile('C:\WINDOWS\TEMP\1460080baa654','');
 QuarantineFile('C:\WINDOWS\TEMP\14640e117eb83','');
 QuarantineFile('C:\WINDOWS\TEMP\1452096c27c6d','');
 QuarantineFile('C:\WINDOWS\TEMP\1800049eb4ba1','');
 QuarantineFile('C:\WINDOWS\TEMP\1796117429089','');
 QuarantineFile('C:\WINDOWS\TEMP\179602cca6dac','');
 QuarantineFile('C:\WINDOWS\TEMP\146407befb772','');
 QuarantineFile('C:\WINDOWS\TEMP\11160cd3dc9f6','');
 QuarantineFile('C:\WINDOWS\TEMP\17960a4559926','');
 QuarantineFile('C:\WINDOWS\TEMP\1788031c38493','');
 QuarantineFile('C:\WINDOWS\TEMP\180008d1a124a','');
 QuarantineFile('C:\WINDOWS\TEMP\180402551b282','');
 QuarantineFile('C:\WINDOWS\TEMP\177601011be63','');
 QuarantineFile('C:\WINDOWS\system32\shell64.dll','');
 QuarantineFile('c:\windows\system32\4cfcb90d.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\sqwhlann.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\fgdgoio.sys','');
 DeleteFile('C:\WINDOWS\system32\Drivers\fgdgoio.sys');
 DeleteFile('C:\WINDOWS\system32\Drivers\sqwhlann.sys');
 DeleteFile('c:\windows\system32\4cfcb90d.exe');
 DeleteFile('C:\WINDOWS\TEMP\177601011be63');
 DeleteFile('C:\WINDOWS\TEMP\180402551b282');
 DeleteFile('C:\WINDOWS\TEMP\180008d1a124a');
 DeleteFile('C:\WINDOWS\TEMP\1788031c38493');
 DeleteFile('C:\WINDOWS\TEMP\17960a4559926');
 DeleteFile('C:\WINDOWS\TEMP\11160cd3dc9f6');
 DeleteFile('C:\WINDOWS\TEMP\146407befb772');
 DeleteFile('C:\WINDOWS\TEMP\179602cca6dac');
 DeleteFile('C:\WINDOWS\TEMP\1796117429089');
 DeleteFile('C:\WINDOWS\TEMP\1800049eb4ba1');
 DeleteFile('C:\WINDOWS\TEMP\1452096c27c6d');
 DeleteFile('C:\WINDOWS\TEMP\14640e117eb83');
 DeleteFile('C:\WINDOWS\TEMP\1460080baa654');
 DeleteFile('C:\WINDOWS\TEMP\18000629500df');
 DeleteFile('C:\WINDOWS\TEMP\180004ed1cdf6');
 BC_DeleteSvc('f3abeeac9387297a');
 BC_DeleteSvc('dd3ffe1164238909');
 BC_DeleteSvc('da9b60cd74a56ab8');
 BC_DeleteSvc('c05cc1ef0f3c2d60');
 BC_DeleteSvc('96399ebea0f4a3be');
 BC_DeleteSvc('907c005dcc7083f7');
 BC_DeleteSvc('8a7e2c8399a33463');
 BC_DeleteSvc('744f7b5288715255');
 BC_DeleteSvc('7364f9384fdcdead');
 BC_DeleteSvc('6c5f5b0a1ef7e312');
 BC_DeleteSvc('432ac33e742f075e');
 BC_DeleteSvc('41c0a2a3b8f34639');
 BC_DeleteSvc('332ba07e39b2f9e0');
 BC_DeleteSvc('20e5a7614ac15320');
 BC_DeleteSvc('0e53ee7e2f199d85');  
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW',2,2,true);
 ExecuteRepair(1);
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
BC_DeleteSvc('sqwhlann');
BC_DeleteSvc('fgdgoio');
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

- Повторите логи

[kknz]

Все выполнил как вы написали.

[olejah]

Вы выложили старые логи. Нужны новые.

[kknz]

Да. Вот свежие.

[olejah]

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 DeleteService('crjoox');
 QuarantineFile('crjoox.sys','');
 QuarantineFile('C:\WINDOWS\system32\shell64.dll','');
 DeleteFile('C:\WINDOWS\system32\shell64.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{AEB6717E-7E19-11d0-97EE-00C04FD91972}');
 DeleteFile('crjoox.sys');
 BC_DeleteSvc('crjoox');  
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

Повторите лог virusinfo_syscheck.zip

- Что с проблемой?

[kknz]

Скрипт(первый) не выполняется
Ошибка: ')' expected в позиции 11:94

С проблемой стало лучше. Пытается выходить с 443 порта пару раз.. До этого он постоянно выходил.

[olejah]

Скрипт без ошибок, копируйте внимательней.

Что за приложение пытается работать с 443-ым портом?

[kknz]

Скрипт выполнил. Приложение сейчас не могу посмотреть. Вчера - servises
карантин тоже отправил.

[kknz]

Спасибо большое за помощь!!!!! Вроде все работает, синий экран смерти не появляется. Иногда пытается выйти через 443 порт на адрес гугла, я думаю это не страшно..

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 38
• В ходе лечения вредоносные программы в карантинах не обнаружены