Показано с 1 по 16 из 16.

Вирусный букет(( (заявка № 99701)

  1. #1
    Junior Member Репутация
    Регистрация
    23.03.2011
    Сообщений
    8
    Вес репутации
    25

    Exclamation Вирусный букет((

    При загрузке ОС (долго загружается, имеет классический вид оформления (выбора другого варианта попросту нет)), отсутствуют сетевые подключения. Хотел поставить Касперского и снести Comodo в момент установки/ удаления с компьютера программ пишет: нет доступа, возможно компьютер работает в защищенном режиме. Пишу это сообщения из безопасного режима с поддержкой сетевых драйверов. В процессах были видны very32.exe и gwdrive32.exe.

    Вложение 304833
    Вложение 304834

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\Cmex\bnt.exe','');
     QuarantineFile('C:\WINDOWS\system32\vyre32.exe','');
     QuarantineFile('C:\WINDOWS\system32\88.exe','');
     QuarantineFile('C:\WINDOWS\system32\78.exe','');
     QuarantineFile('C:\WINDOWS\system32\48.exe','');
     QuarantineFile('C:\WINDOWS\system32\44.exe','');
     QuarantineFile('C:\WINDOWS\system32\40.exe','');
     QuarantineFile('C:\WINDOWS\system32\38.exe','');
     QuarantineFile('C:\WINDOWS\system32\15.exe','');
     QuarantineFile('C:\WINDOWS\system32\14.exe','');
     QuarantineFile('C:\WINDOWS\system32\06.exe','');
     QuarantineFile('C:\WINDOWS\system32\03.exe','');
     QuarantineFile('C:\WINDOWS\system32\01.exe','');
     QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\winfixer.exe','');
     QuarantineFile('C:\WINDOWS\system32\umdmgr.exe','');
     QuarantineFile('C:\WINDOWS\wjdrive32.exe','');
     QuarantineFile('C:\WINDOWS\ggdrive32.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
     QuarantineFile('c:\windows\system32\vyre32.exe','');
     TerminateProcessByName('c:\windows\system32\vyre32.exe');
     DeleteFile('c:\windows\system32\vyre32.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
     DeleteFile('C:\WINDOWS\ggdrive32.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','vyre32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Config Setup');
     DeleteFile('C:\WINDOWS\wjdrive32.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Config Setup');
     DeleteFile('C:\WINDOWS\system32\umdmgr.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wors');
     DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\winfixer.exe');
     DeleteFile('C:\WINDOWS\system32\01.exe');
     DeleteFile('C:\WINDOWS\system32\03.exe');
     DeleteFile('C:\WINDOWS\system32\06.exe');
     DeleteFile('C:\WINDOWS\system32\14.exe');
     DeleteFile('C:\WINDOWS\system32\15.exe');
     DeleteFile('C:\WINDOWS\system32\27.exe');
     DeleteFile('C:\WINDOWS\system32\35.exe');
     DeleteFile('C:\WINDOWS\system32\38.exe');
     DeleteFile('C:\WINDOWS\system32\40.exe');
     DeleteFile('C:\WINDOWS\system32\44.exe');
     DeleteFile('C:\WINDOWS\system32\48.exe');
     DeleteFile('C:\WINDOWS\system32\78.exe');
     DeleteFile('C:\WINDOWS\system32\88.exe');
     DeleteFile('C:\WINDOWS\system32\vyre32.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(16);
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

    Обновите систему
    - SP2 обновите до Service Pack 3(может потребоваться активация)
    * Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
    * Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.тут
    - Установите Internet-Explorer 8.(даже если Вы его не используете)
    - Поставте все последние обновления системы Windows - тут

    После обновления:
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
    - Сделайте лог MBAM

  4. #3
    Junior Member Репутация
    Регистрация
    23.03.2011
    Сообщений
    8
    Вес репутации
    25
    Проделал все вышеуказанные манипуляции, но увы, обычная рабочая среда все так же не подающая признаков жизни, нет ни звука, ни сетевых драйверов, вринципи в деспетчере устройств нет ничего, пусто.((

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    1. Профиксите в HijackThis
    Код:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
    O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
    O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
    2.Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     DeleteFile('C:\WINDOWS\system32\vyre32.exe');
     DeleteFile('C:\WINDOWS\wjdrive32.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Config Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','vyre32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Config Setup');
     DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\winfixer.exe');
     DeleteFile('C:\WINDOWS\system32\08.exe');
     DeleteFile('C:\WINDOWS\system32\11.exe');
     DeleteFile('C:\WINDOWS\system32\20.exe');
     DeleteFile('C:\WINDOWS\system32\50.exe');
     DeleteFile('C:\WINDOWS\system32\55.exe');
     DeleteFile('C:\WINDOWS\system32\68.exe');
     DeleteFile('C:\WINDOWS\system32\71.exe');
     DeleteFile('C:\WINDOWS\system32\82.exe');
     DeleteFile('C:\WINDOWS\system32\87.exe');
     DeleteFileMask('c:\documents and settings\Cmex\local settings\temporary internet files\Content.IE5', '*.*', true);
     DeleteFileMask('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5', '*.*', true);
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(11);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - удалите в MBAM оставшееся из этого
    Код:
    Registry Values Infected:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Trojan.Agent) -> Value: Taskman -> No action taken.
    
    
    Folders Infected:
    c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> No action taken.
    
    Files Infected:
    c:\documents and settings\Cmex\bnt.exe (Malware.Generic) -> No action taken.
    c:\documents and settings\Cmex\msc.exe (Trojan.Agent) -> No action taken.
    c:\documents and settings\Cmex\wors.exe (Malware.Generic) -> No action taken.
    c:\documents and settings\Cmex\local settings\temporary internet files\Content.IE5\81IBW1MF\ms0593[1].exe (Worm.Palevo) -> No action taken.
    c:\documents and settings\Cmex\local settings\temporary internet files\Content.IE5\81IBW1MF\zpp[1].exe (Trojan.Downloader) -> No action taken.
    c:\documents and settings\Cmex\local settings\temporary internet files\Content.IE5\HR1BLD5F\cut[1].gif (Extension.Mismatch) -> No action taken.
    c:\documents and settings\Cmex\local settings\temporary internet files\Content.IE5\ML6L66IX\bnet[1].exe (Malware.Generic) -> No action taken.
    c:\documents and settings\Cmex\local settings\temporary internet files\Content.IE5\SPAX61YD\myms[2].exe (Trojan.Agent) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\81AR0LAR\zpp[1].exe (Trojan.Downloader) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\81AR0LAR\z[1].exe (Trojan.Downloader) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\81AR0LAR\z[2].exe (Trojan.Downloader) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\81AR0LAR\z[3].exe (Trojan.Downloader) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\81AR0LAR\z[4].exe (Trojan.Downloader) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\81AR0LAR\z[5].exe (Trojan.Downloader) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\G1UBOLAN\zpp[1].exe (Trojan.Downloader) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\G1UBOLAN\z[1].exe (Trojan.Downloader) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\KTMJ4XI3\zpp[1].exe (Trojan.Downloader) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\KTMJ4XI3\z[1].exe (Trojan.Downloader) -> No action taken.
    c:\documents and settings\администратор.undergro-d69df3\bnt.exe (Malware.Generic) -> No action taken.
    c:\documents and settings\администратор.undergro-d69df3\cdir.exe (Malware.VB.Gen) -> No action taken.
    c:\documents and settings\администратор.undergro-d69df3\msc.exe (Trojan.Agent) -> No action taken.
    c:\documents and settings\администратор.undergro-d69df3\wors.exe (Worm.Palevo) -> No action taken.
    c:\Vir\Avz\quarantine\2011-03-24\avz00001.dta (Malware.Generic) -> No action taken.
    c:\Vir\Avz\quarantine\2011-03-24\avz00002.dta (Malware.VB.Gen) -> No action taken.
    c:\Vir\Avz\quarantine\2011-03-24\avz00003.dta (Trojan.Downloader) -> No action taken.
    c:\Vir\Avz\quarantine\2011-03-24\avz00004.dta (Trojan.Downloader) -> No action taken.
    c:\Vir\Avz\quarantine\2011-03-24\avz00005.dta (Trojan.Downloader) -> No action taken.
    c:\Vir\Avz\quarantine\2011-03-24\avz00006.dta (Trojan.Downloader) -> No action taken.
    c:\Vir\Avz\quarantine\2011-03-24\avz00007.dta (Trojan.Downloader) -> No action taken.
    c:\Vir\Avz\quarantine\2011-03-24\avz00008.dta (Trojan.Downloader) -> No action taken.
    c:\Vir\Avz\quarantine\2011-03-24\avz00009.dta (Trojan.Downloader) -> No action taken.
    c:\Vir\Avz\quarantine\2011-03-24\avz00010.dta (Trojan.Downloader) -> No action taken.
    c:\Vir\Avz\quarantine\2011-03-24\avz00011.dta (Trojan.Downloader) -> No action taken.
    c:\Vir\Avz\quarantine\2011-03-24\avz00012.dta (Trojan.Downloader) -> No action taken.
    c:\Vir\Avz\quarantine\2011-03-24\avz00013.dta (Trojan.Downloader) -> No action taken.
    c:\Vir\Avz\quarantine\2011-03-24\avz00014.dta (Trojan.Downloader) -> No action taken.
    c:\Vir\Avz\quarantine\2011-03-24\avz00015.dta (Worm.Palevo) -> No action taken.
    c:\Vir\Avz\quarantine\2011-03-24\avz00016.dta (Trojan.Agent) -> No action taken.
    c:\Vir\Avz\quarantine\2011-03-24\avz00017.dta (Malware.Generic) -> No action taken.
    c:\Vir\Avz\quarantine\2011-03-24\bcqr00001.dat (Malware.Generic) -> No action taken.
    c:\Vir\Avz\quarantine\2011-03-24\bcqr00002.dat (Malware.Generic) -> No action taken.
    c:\Vir\Avz\quarantine\2011-03-24\bcqr00027.dat (Trojan.Downloader) -> No action taken.
    c:\Vir\Avz\quarantine\2011-03-24\bcqr00028.dat (Trojan.Downloader) -> No action taken.
    c:\WINDOWS\system32\08.exe (Trojan.Downloader) -> No action taken.
    c:\WINDOWS\system32\20.exe (Trojan.Downloader) -> No action taken.
    c:\WINDOWS\system32\82.exe (Trojan.Downloader) -> No action taken.
    c:\WINDOWS\system32\83.exe (Trojan.Downloader) -> No action taken.
    c:\WINDOWS\system32\87.exe (Trojan.Downloader) -> No action taken.
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
    - Сделайте лог MBAM

  6. #5
    Junior Member Репутация
    Регистрация
    23.03.2011
    Сообщений
    8
    Вес репутации
    25
    Все так же глухо, но, кажется вирье *кануло в лета*. Есть еще один вопрос, ведь без разницы на каком аккаунте (администратор/тот который создавал я), проводить сканирование/лечение и режиме (безопасный или нет)?

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,353
    Вес репутации
    3019
    В нормальном режиме логи сделать не можете?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    23.03.2011
    Сообщений
    8
    Вес репутации
    25
    Цитата Сообщение от thyrex Посмотреть сообщение
    В нормальном режиме логи сделать не можете?
    Могу, это был вопрос чисто из любознательности))

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,353
    Вес репутации
    3019
    Логи нужно делать из проблемной учетки в нормальном режиме. Какие проблемы остались?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Junior Member Репутация
    Регистрация
    23.03.2011
    Сообщений
    8
    Вес репутации
    25
    Проблемы, к сожалению, которые и были: на всех аккаунтах very32.exe и gwdrive32.exe. В диспетчере устройств по прежнему нет отображения устройств (т.е. не только отображение, но и в принципе они отсутствуют, видео, звук, сетевые и т.п., создание нового аккаунта никак не избавило от проблемы, хотя вот в безопасном режиме все "нормально работает", т.е. все устройства (видны) работают, но вот с вирусами туговато).

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,353
    Вес репутации
    3019
    Обновления для системы установили?

    Сделайте все логи (включая лог МВАМ) под одной из учеток в нормальном режиме
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Junior Member Репутация
    Регистрация
    23.03.2011
    Сообщений
    8
    Вес репутации
    25
    Да, обновления установлены, но признаков улучшения состояния*больного* не наблюдается((

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('C:\Documents and Settings\Cmex\hddd.exe','');
     QuarantineFile('C:\Documents and Settings\Cmex\bnt.exe','');
     QuarantineFile('C:\WINDOWS\system32\86.exe','');
     QuarantineFile('C:\WINDOWS\system32\71.exe','');
     QuarantineFile('C:\WINDOWS\system32\60.exe','');
     QuarantineFile('C:\WINDOWS\system32\56.exe','');
     QuarantineFile('C:\WINDOWS\system32\52.exe','');
     QuarantineFile('C:\WINDOWS\system32\37.exe','');
     QuarantineFile('C:\WINDOWS\system32\36.exe','');
     QuarantineFile('C:\WINDOWS\system32\11.exe','');
     QuarantineFile('C:\WINDOWS\system32\13.exe','');
     QuarantineFile('C:\WINDOWS\system32\26.exe','');
     QuarantineFile('C:\WINDOWS\system32\35.exe','');
     QuarantineFile('C:\WINDOWS\wjdrive32.exe','');
     QuarantineFile('C:\WINDOWS\system32\vyre32.exe','');
     QuarantineFile('C:\WINDOWS\ggdrive32.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
     TerminateProcessByName('c:\windows\wjdrive32.exe');
     QuarantineFile('c:\windows\wjdrive32.exe','');
     QuarantineFile('c:\documents and settings\cmex\hddd.exe','');
     DeleteFile('c:\documents and settings\cmex\hddd.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Advanced HTTPL Enable');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
     DeleteFile('C:\WINDOWS\ggdrive32.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
     DeleteFile('C:\WINDOWS\system32\vyre32.exe');
     DeleteFile('C:\WINDOWS\wjdrive32.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Config Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Config Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','vyre32');
     DeleteFile('C:\WINDOWS\system32\11.exe');
     DeleteFile('C:\WINDOWS\system32\13.exe');
     DeleteFile('C:\WINDOWS\system32\26.exe');
     DeleteFile('C:\WINDOWS\system32\35.exe');
     DeleteFile('C:\WINDOWS\system32\36.exe');
     DeleteFile('C:\WINDOWS\system32\37.exe');
     DeleteFile('C:\WINDOWS\system32\52.exe');
     DeleteFile('C:\WINDOWS\system32\56.exe');
     DeleteFile('C:\WINDOWS\system32\60.exe');
     DeleteFile('C:\WINDOWS\system32\71.exe');
     DeleteFile('C:\WINDOWS\system32\86.exe');
     DeleteFile('C:\Documents and Settings\Cmex\bnt.exe');
     DeleteFile('C:\Documents and Settings\Cmex\hddd.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
      DeleteFileMask('C:\Documents and Settings\Cmex\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
     DeleteDirectory('C:\Documents and Settings\Cmex\Local Settings\Temporary Internet Files\Content.IE5');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(11);
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

    - удалите в MBAM что останется из этого
    Код:
    Заражённые процессы в памяти:
    c:\documents and settings\Cmex\hddd.exe (Malware.Generic) -> 1896 -> No action taken.
    c:\WINDOWS\wjdrive32.exe (Trojan.Agent) -> 1532 -> No action taken.
    
    
    Заражённые параметры в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Advanced HTTPL Enable (Malware.Generic) -> Value: Advanced HTTPL Enable -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\vyre32 (Malware.VB.Gen) -> Value: vyre32 -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Tnaww (Malware.Generic) -> Value: Tnaww -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Config Setup (Trojan.Agent) -> Value: Microsoft Config Setup -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Microsoft Config Setup (Trojan.Agent) -> Value: Microsoft Config Setup -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Driver Setup (Backdoor.IRCBot) -> Value: Microsoft Driver Setup -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Microsoft Driver Setup (Backdoor.IRCBot) -> Value: Microsoft Driver Setup -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Worm.Palevo) -> Value: Shell -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\12CFG214-K641-12SF-N85P (Worm.AutoRun.Gen) -> Value: 12CFG214-K641-12SF-N85P -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Worm.Palevo) -> Value: Taskman -> No action taken.
    
    Объекты реестра заражены:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Malware.Generic) -> Bad: (C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe) Good: () -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe,Explorer.exe) Good: (Explorer.exe) -> No action taken.
    
    Заражённые папки:
    c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> No action taken.
    c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413 (Worm.AutoRun) -> No action taken.
    c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> No action taken.
    
    Заражённые файлы:
    c:\documents and settings\Cmex\hddd.exe (Malware.Generic) -> No action taken.
    c:\WINDOWS\system32\vyre32.exe (Malware.VB.Gen) -> No action taken.
    c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413\syitm.exe (Malware.Generic) -> No action taken.
    c:\documents and settings\Cmex\hdcd.exe (Malware.Generic) -> No action taken.
    c:\documents and settings\Cmex\local settings\temporary internet files\Content.IE5\06YM1NS8\cut[1].gif (Extension.Mismatch) -> No action taken.
    c:\documents and settings\Cmex\local settings\temporary internet files\Content.IE5\BIXJ7CR8\serv8[1].exe (Malware.Generic) -> No action taken.
    c:\Vir\Avz\Infected\2011-03-29\avz00001.dta (Worm.Palevo) -> No action taken.
    c:\Vir\Avz\Infected\2011-03-29\avz00002.dta (Worm.Palevo) -> No action taken.
    c:\Vir\Avz\quarantine\2011-03-30\avz00001.dta (Malware.Generic) -> No action taken.
    c:\Vir\Avz\quarantine\2011-03-30\avz00013.dta (Malware.VB.Gen) -> No action taken.
    c:\Vir\Avz\quarantine\2011-03-30\avz00017.dta (Malware.Generic) -> No action taken.
    c:\WINDOWS\wjdrive32.exe (Trojan.Agent) -> No action taken.
    c:\WINDOWS\ggdrive32.exe (Backdoor.IRCBot) -> No action taken.
    c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe (Worm.AutoRun.Gen) -> No action taken.
    c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811\Desktop.ini (Trojan.Agent) -> No action taken.
    c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413\Desktop.ini (Worm.AutoRun) -> No action taken.
    c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe (Worm.AutoRun.Gen) -> No action taken.
    c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Worm.AutoRun.Gen) -> No action taken.
    c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\winfixer.exe (Worm.AutoRun.Gen) -> No action taken.

    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
    - Сделайте лог MBAM

  14. #13
    Junior Member Репутация
    Регистрация
    23.03.2011
    Сообщений
    8
    Вес репутации
    25
    Вирусная активность не наблюдается, но, иногда появляется на диске С файл с именем "asetup" (блин, почему то я о нем каждый раз забывал упоминать, весит он 32.4 КБ). С загрузкой винды (в любом режиме) просто "загружаются" мои документы, хотя в автозагрузке ничего нет, и с помощью CCleaner ничего подобного нет.
    В обычном режиме не удается включить самое простое брандмауэр, пишет, что служба не доступна, чего уж говорить о сетевых подключениях, т.е. в диспетчере задач написано "сеть" что скорость подключения 100м\б но вот в сетевых подключениях не отображается, не работает svchost.exe (клацал по нему в system32 - ноль реакций), в диспетчере устройств все так же пусто, но работает видеокарта, как узнал? - запустил игру, да и перемещается по экрану открытое окно плавно, а вот со звуком, увы (но это не страшно).

    p.s. Может убить эту форточку и поставить новую? мы больше мучаемся, чем я бы расставлял ярлычки на рабочем столе, или устанавливал софт (сказано грубо конечно, но..).

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    - Выполните скрипт в AVZ
    Код:
    begin
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('c:\windows\system32\winlogon.exe','');
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     ExecuteRepair(6);
     ExecuteRepair(8);
     RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
     RebootWindows(true);
    end.
    После перезагрузки:
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

  16. #15
    Junior Member Репутация
    Регистрация
    23.03.2011
    Сообщений
    8
    Вес репутации
    25
    Карантин загрузил и еще (извиняюсь за назойливость) хотел поинтересоваться в связи с тем, что в безопасном режиме с поддержкой сетевых драйверов нет тех проблем, которые я описал выше, возможно ли прислать вам лог или еще что (я даже не знаю, вдруг, что-то отключено), или куда обратиться, в какую тему/раздел? К примеру, когда открываю сетевые подключения, появляется сообщение: “Не удается поместить список сетевых устройств компьютера в папку “Сетевые” подключения». Проверьте, что служба сетевых подключений включена и выполняется.”, хотя в самом же диспетчере устройств отчетливо видно, что подключение есть.

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 73
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\cmex\\bnt.exe - Trojan-Downloader.Win32.Small.btqd ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.5736062, NOD32: Win32/Agent.HXW trojan, AVAST4: Win32:Downloader-NUE [Trj] )
      2. c:\\documents and settings\\cmex\\bnt.exe - Worm.Win32.Bybz.epl ( DrWEB: Win32.HLLW.Autoruner.37980, BitDefender: Trojan.Generic.KDV.165240, AVAST4: Win32:Ruskill-BO [Trj] )
      3. c:\\documents and settings\\cmex\\hddd.exe - Worm.Win32.Bybz.epl ( DrWEB: Trojan.DownLoader2.13949, BitDefender: Trojan.Generic.5821796, NOD32: Win32/TrojanProxy.Ranky trojan, AVAST4: Win32:Crypt-IWU [Trj] )
      4. c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\winfixer.exe - Backdoor.Win32.Floder.by ( DrWEB: BackDoor.Siggen.44900, BitDefender: Trojan.Generic.7435350, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Downloader-NUE [Trj] )
      5. c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1413\\syitm.exe - Worm.Win32.Bybz.epl ( DrWEB: Trojan.DownLoader2.13949, BitDefender: Trojan.Generic.5964447, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Ruskill-BN [Trj] )
      6. c:\\recycler\\s-1-5-21-0243936033-3052116371-381863308-1811\\vsbntlo.exe - Worm.Win32.Bybz.epl ( DrWEB: Win32.HLLW.Autoruner.37980, BitDefender: Trojan.Generic.KDV.165240, AVAST4: Win32:Ruskill-BO [Trj] )
      7. c:\\recycler\\s-1-5-21-0243936033-3052116371-381863308-1811\\vsbntlo.exe - Trojan-Downloader.Win32.Small.btqd ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.5736062, NOD32: Win32/Agent.HXW trojan, AVAST4: Win32:Downloader-NUE [Trj] )
      8. c:\\windows\\ggdrive32.exe - Backdoor.Win32.Floder.ds ( DrWEB: Trojan.DownLoader2.25012, BitDefender: Trojan.Generic.6262456, AVAST4: Win32:Downloader-NUE [Trj] )
      9. c:\\windows\\system32\\umdmgr.exe - Packed.Win32.Krap.ig ( DrWEB: Trojan.MulDrop2.12720, BitDefender: Worm.Generic.321675, NOD32: Win32/TrojanClicker.VB.NJT trojan, AVAST4: Win32:AutoRun-BRP [Trj] )
      10. c:\\windows\\system32\\vyre32.exe - HEUR:Trojan.Win32.Generic ( DrWEB: Trojan.DownLoad.35732, BitDefender: Trojan.Generic.5719172, NOD32: Win32/TrojanClicker.VB.NJT trojan, AVAST4: Win32:Malware-gen )
      11. c:\\windows\\system32\\vyre32.exe - Trojan-Downloader.Win32.VB.ahfg ( DrWEB: BackDoor.Siggen.28690, BitDefender: Gen:Trojan.Heur.ZGY.5, NOD32: Win32/TrojanClicker.VB.NJT trojan, AVAST4: Win32:VB-SIC [Trj] )
      12. c:\\windows\\system32\\01.exe - Backdoor.Win32.Floder.by ( DrWEB: BackDoor.Siggen.44900, BitDefender: Trojan.Generic.7435350, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Downloader-NUE [Trj] )
      13. c:\\windows\\system32\\03.exe - Backdoor.Win32.Floder.by ( DrWEB: BackDoor.Siggen.44900, BitDefender: Trojan.Generic.7435350, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Downloader-NUE [Trj] )
      14. c:\\windows\\system32\\06.exe - Backdoor.Win32.Floder.cc ( DrWEB: BackDoor.Ddoser.131, BitDefender: Backdoor.Generic.613250, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Downloader-NUE [Trj] )
      15. c:\\windows\\system32\\11.exe - Backdoor.Win32.Floder.df ( DrWEB: Win32.HLLW.Autoruner1.18183, BitDefender: Gen:Variant.Tofsee.1, AVAST4: Win32:Downloader-NUE [Trj] )
      16. c:\\windows\\system32\\13.exe - Backdoor.Win32.Floder.dp ( DrWEB: BackDoor.Ddoser.131, BitDefender: Backdoor.Generic.641620, AVAST4: Win32:Downloader-NUE [Trj] )
      17. c:\\windows\\system32\\14.exe - Backdoor.Win32.Floder.by ( DrWEB: BackDoor.Siggen.44900, BitDefender: Trojan.Generic.7435350, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Downloader-NUE [Trj] )
      18. c:\\windows\\system32\\15.exe - Backdoor.Win32.Floder.by ( DrWEB: BackDoor.Siggen.44900, BitDefender: Trojan.Generic.7435350, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Downloader-NUE [Trj] )
      19. c:\\windows\\system32\\26.exe - IRC-Worm.Win32.Small.ke ( DrWEB: Win32.HLLW.Autoruner.47212, BitDefender: Worm.Generic.314784, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Downloader-NUE [Trj] )
      20. c:\\windows\\system32\\35.exe - Backdoor.Win32.Floder.dp ( DrWEB: BackDoor.Ddoser.131, BitDefender: Backdoor.Generic.641620, AVAST4: Win32:Downloader-NUE [Trj] )
      21. c:\\windows\\system32\\36.exe - IRC-Worm.Win32.Small.ke ( DrWEB: Win32.HLLW.Autoruner.47212, BitDefender: Worm.Generic.314784, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Downloader-NUE [Trj] )
      22. c:\\windows\\system32\\37.exe - Backdoor.Win32.Floder.ge ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.KDV.167915, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Downloader-NUE [Trj] )
      23. c:\\windows\\system32\\38.exe - Backdoor.Win32.Floder.cc ( DrWEB: BackDoor.Ddoser.131, BitDefender: Backdoor.Generic.613250, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Downloader-NUE [Trj] )
      24. c:\\windows\\system32\\40.exe - Backdoor.Win32.Floder.cc ( DrWEB: BackDoor.Ddoser.131, BitDefender: Backdoor.Generic.613250, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Downloader-NUE [Trj] )
      25. c:\\windows\\system32\\44.exe - Backdoor.Win32.Floder.cc ( DrWEB: BackDoor.Ddoser.131, BitDefender: Backdoor.Generic.613250, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Downloader-NUE [Trj] )
      26. c:\\windows\\system32\\48.exe - Backdoor.Win32.Floder.cc ( DrWEB: BackDoor.Ddoser.131, BitDefender: Backdoor.Generic.613250, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Downloader-NUE [Trj] )
      27. c:\\windows\\system32\\52.exe - Backdoor.Win32.Floder.di ( DrWEB: Win32.HLLW.Autoruner1.4432, BitDefender: Trojan.Generic.5719250, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Downloader-NUE [Trj] )
      28. c:\\windows\\system32\\56.exe - Backdoor.Win32.Floder.dp ( DrWEB: BackDoor.Ddoser.131, BitDefender: Backdoor.Generic.641620, AVAST4: Win32:Downloader-NUE [Trj] )
      29. c:\\windows\\system32\\60.exe - Backdoor.Win32.Floder.dp ( DrWEB: BackDoor.Ddoser.131, BitDefender: Backdoor.Generic.641620, AVAST4: Win32:Downloader-NUE [Trj] )
      30. c:\\windows\\system32\\71.exe - IRC-Worm.Win32.Small.ke ( DrWEB: Win32.HLLW.Autoruner.47212, BitDefender: Worm.Generic.314784, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Downloader-NUE [Trj] )
      31. c:\\windows\\system32\\78.exe - Backdoor.Win32.Floder.cc ( DrWEB: BackDoor.Ddoser.131, BitDefender: Backdoor.Generic.613250, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Downloader-NUE [Trj] )
      32. c:\\windows\\system32\\86.exe - Backdoor.Win32.Floder.df ( DrWEB: Win32.HLLW.Autoruner1.18183, BitDefender: Gen:Variant.Tofsee.1, AVAST4: Win32:Downloader-NUE [Trj] )
      33. c:\\windows\\system32\\88.exe - Backdoor.Win32.Floder.cc ( DrWEB: BackDoor.Ddoser.131, BitDefender: Backdoor.Generic.613250, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Downloader-NUE [Trj] )
      34. c:\\windows\\wjdrive32.exe - Backdoor.Win32.Floder.dq ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.5715865, AVAST4: Win32:Downloader-NUE [Trj] )
      35. c:\\windows\\wjdrive32.exe - Backdoor.Win32.Floder.ck ( DrWEB: Trojan.DownLoader2.24144, BitDefender: Trojan.Generic.KDV.166037, NOD32: IRC/SdBot trojan, AVAST4: Win32:Downloader-NUE [Trj] )


  • Уважаемый(ая) Zebra_Kot, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Помогите удалить вирусный червь!
      От kat1012 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 22.01.2012, 19:45
    2. Вирусный букет и его последствия
      От zolboo в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 23.07.2011, 10:28
    3. вирусный синдром
      От fronter в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 01.11.2010, 22:21
    4. Вирусный баннер
      От sayan160 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 12.01.2010, 09:27
    5. Вирусный сбор
      От Merlin в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 27.05.2008, 14:07

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00792 seconds with 16 queries