-
Junior Member
- Вес репутации
- 57
Одолели вирусы,просьба,помочь!
Добрый день!
Касперский со свежими базами не видит вирусы. Компьютер стал хуже работать. стали запускаться какие то левые программы и выскакивают ошибки. в автозагрузке сидит процесс psysnew,который не убирается и не уничтожается.
В прошлом году уже мне помогли. Надеюсь на очередную помощь!
Спасибо!!!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
"Пофиксите" в HijackThis
Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:8600
O3 - Toolbar: VKontakte Bar - {A6790AA5-C6C7-4BCF-A46D-0FDAC4EA90EB} - C:\Program Files\VKontakte IE Toolbar\VKontakte.dll (file missing)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
В AVZ -> файл-> Выполнить скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\cfdrive32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe','');
QuarantineFile('C:\Documents and Settings\Михаил\Application Data\oekx.exe','');
DeleteService('winsecguard');
QuarantineFile('C:\WINDOWS\Driver Cache\zpx2.exe','');
TerminateProcessByName('c:\windows\cfdrive32.exe');
QuarantineFile('c:\windows\cfdrive32.exe','');
DeleteFile('c:\windows\cfdrive32.exe');
DeleteFile('C:\WINDOWS\Driver Cache\zpx2.exe');
BC_DeleteSvc('winsecguard');
DeleteFile('C:\Documents and Settings\Михаил\Application Data\oekx.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','psysnew');
DeleteFile('C:\WINDOWS\cfdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке Прислать запрошенный карантин.
Сделайте лог gmer
Повторите логи по правилам.
-
-
Junior Member
- Вес репутации
- 57
-
Сохраните в блокноте текст ниже как cleanup.bat в ту же папку, где находится f78s4zhc.exe (gmer)
Код:
f78s4zhc.exe -del service aghtwf
f78s4zhc.exe -del file "C:\WINDOWS\system32\agfnab.dll"
f78s4zhc.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\aghtwf"
f78s4zhc.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\aghtwf"
f78s4zhc.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\aghtwf"
f78s4zhc.exe -reboot
И запустите cleanup.bat.
Компьютер перезагрузится!
Сделайте новый лог gmer.
-
-
логи AVZ не забудьте, просил ведь
-
-
Сообщение от
light59
Повторите логи по правилам.
Это тоже сделайте.
-
-
Junior Member
- Вес репутации
- 57
Вышлю логи,они очень долго делаются. Комп жутко тормозит. GMER только 5 часов проверял.
cleanup.bat сделал,как написано-комп не перезагрузился.
-
На время создания логов отключайте интернет и антивирус\файрволл. Возможно так быстрей будет.
Но потом не забудьте их включить обратно.
-
-
Junior Member
- Вес репутации
- 57
Вроде сделал логи,как положено.Извините,если что не так делаю. Жду дальнейших инструкций!
-
Выполните скрипт в AVZ:
Код:
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\Михаил\Application Data\oekx.exe','');
DeleteFile('C:\Documents and Settings\Михаил\Application Data\oekx.exe');
AddToLog(inttostr(BC_ServiceKill('aghtwf')) );
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
SaveLog(GetAVZDirectory+'avz_log.txt');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
После перезагрузки выполните скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
Файл avz_log.txt из папки AVZ приложите здесь.
Повторите лог virusinfo_syscheck.zip и приложите в теме.
Добавлено через 2 минуты
Повторите лог gmer и тоже приложите.
Последний раз редактировалось Nikkollo; 19.11.2010 в 20:35.
Причина: Добавлено
-
-
А также
Сделайте лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
Карантин выслать не получилось-пишет,что такой файл уже был загружен. лог GMER будет часов через 5.
-
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
Driver::
aghtwf
NetSvc::
aghtwf
Folder::
Registry::
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
Очередной отчёт. GMER на середине работы завис,пришлось перезагружать комп. Есть ли смысл снова запускать?
-
Junior Member
- Вес репутации
- 57
Кстати,компьютер стал работать заметно быстрее...Хотя Винда загружается так же медленно,около 5 минут.
-
Лог gmer не нужен. Все исправил ComboFix
Больше придраться не к чему
Удалите ComboFix
В логе видны 2 антивируса. Оставьте один
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
Что значит оставьте один? Поясните,пожалуйста. После удаления ComboFix при перезагрузке компа замечена ещё большая продолжительность загрузки windows. Все проблемы,которые были,так и остались:комп тормозит,долго грузиться,ощущение,что нехватает оперативки...
-
То и значит, что оставить нужно один. 2 антивируса это возможная причина ваших тормозов. Так же могут быть сбои системы .
-
-
Junior Member
- Вес репутации
- 57
Спасибо и на этом! Второй антивирус удалил.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 17
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\михаил\\application data\\oekx.exe - Packed.Win32.Krap.ig ( DrWEB: Trojan.Inject.13653, BitDefender: Trojan.Generic.5267003, NOD32: Win32/Bflient.K worm, AVAST4: Win32:AutoRun-BRP [Trj] )
- c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1455\\psysnew.exe - Trojan.Win32.VBKrypt.aqub ( DrWEB: Win32.HLLW.Autoruner.17766, BitDefender: Trojan.Generic.5205718, AVAST4: Win32:Malware-gen )
- c:\\windows\\apppatch\\foklkqv.dat - Backdoor.Win32.Shiz.fnf ( DrWEB: Trojan.PWS.Ibank.300, BitDefender: Gen:Variant.Kazy.29093, AVAST4: Win32:MalOb-IP [Cryp] )
- c:\\windows\\cfdrive32.exe - Trojan.Win32.VBKrypt.anuy ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.5139142, AVAST4: Win32:Malware-gen )
-