собственно не дает запускать антивири
не дает достучаться до вирусинфо
остальные симптомы схожи с предидущими пациентами - АВЗ запустил только после отключения эксплора.
логи по форме
собственно не дает запускать антивири
не дает достучаться до вирусинфо
остальные симптомы схожи с предидущими пациентами - АВЗ запустил только после отключения эксплора.
логи по форме
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\eynjjey.exe',''); DeleteFile('C:\WINDOWS\system32\eynjjey.exe'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(20); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- выполните такой скрипт
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Повторите логи
логи
карантин по кнопке загружаться не хочет...
пациент ожил - всё запускается, везде пускает.
Последний раз редактировалось koyg; 15.11.2010 в 23:57.
C:\Documents and Settings\Администратор\Мои документы\Загрузки\stati_po_muzike_na_angliyskom_y azike_43.exe - Полагаю Вы знаете, что это такое раз загрузили. Детект такой - Hoax.Win32.ArchSMS.oh
- Что с этим делаем - оставляем/удаляем?
удалил
один симптом остался - при входе в социалки - редиректит на страницу "вас взломали, отправьте смс" - не могу отловить что за бяка
+ не дает скачать ничего с каспера и других сайтов с антивирусами - но пускать на них пускает
Последний раз редактировалось koyg; 16.11.2010 в 08:57.
Во всех браузерах или в каком-то одном?
во всех - лиса, опера, осел
проверил ещё раз всё с запущеной лисой и открытым эксплором
вот логи
отловить не удается..
ещё заметил штуку - все файлы скачиваемые из сет - переименовываются во что-нибудь типа wjujfhghg.exe oklkkhj.exe и т. п.
Сделайте лог полного сканирования МВАМ
лог МБАМ
Удалите в МВАМ -
Код:Зараженные ключи в реестре: HKEY_CLASSES_ROOT\CLSID\{8e8e8f8a-8fcc-88ce-bcb8-b8fd8e88888a} (Malware.Packer.Gen) -> No action taken. HKEY_CURRENT_USER\Software\avsoft (Trojan.Fraudpack) -> No action taken. Зараженные параметры в реестре: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\forceclassiccontrolpanel (Hijack.ControlPanelStyle) -> No action taken. Объекты реестра заражены: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
выполнил
как ни печально - проблема осталась
видимо предстоит переустановка системы...
Сделайте лог ComboFix
не понадобиться.
кусаю правый локоть и посыпаю голову пеплом - стоило сразу заметить в трасеровке - куда ломятся браузеры
а ломились они далеко не туда куда нужно:
O17 - HKLM\System\CCS\Services\Tcpip\..\{3C797CA4-6C51-494B-BF33-523DFD3DECF1}: NameServer = 195.226.220.30,195.226.220.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{E1AC1838-6C88-49B5-AC54-4F258923B3B1}: NameServer = 195.226.220.30,195.226.220.31
собственно проблема решена
огромное спасибо за помощь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 7
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\администратор\\мои документы\\загрузки\\stati_po_muzike_na_angliyskom _yazike_43.exe - Hoax.Win32.ArchSMS.oh ( DrWEB: Tool.SMSSend.50, BitDefender: Backdoor.Generic.519093, AVAST4: Win32:Malware-gen )
- c:\\documents and settings\\администратор\\мои документы\\загрузки\\stati_po_muzike_na_angliyskom _yazike_43(2).exe - Hoax.Win32.ArchSMS.oh ( DrWEB: Tool.SMSSend.50, BitDefender: Backdoor.Generic.519093, AVAST4: Win32:Malware-gen )
- c:\\documents and settings\\администратор\\мои документы\\загрузки\\stati_po_muzike_na_angliyskom _yazike_43(3).exe - Hoax.Win32.ArchSMS.oh ( DrWEB: Tool.SMSSend.50, BitDefender: Backdoor.Generic.519093, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\eynjjey.exe - Backdoor.Win32.Shiz.amc ( DrWEB: Trojan.MulDrop1.52533, BitDefender: Trojan.Generic.5099374, AVAST4: Win32:Malware-gen )
Уважаемый(ая) koyg, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.