Решена Компьютер заражен вирусами
- Автор темыhoper
- Дата начала
- Статус
Ботан
Злостный спам-бот
- Сообщения
- 1,086
- Реакции
- 153
Приветствую joas, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
- virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
__________________________________________________
С уважением, администрация SafeZone.
С уважением, администрация SafeZone.
- Сообщения
- 8,530
- Реакции
- 5,712
Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт
Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.
Пофиксите в HJT:
Повторите сканирование MBAM и удалите все найденное
Повторите логи AVZ и RSIT
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
TerminateProcessByName('c:\documents and settings\фф\application data\yl86g6nq.exe');
TerminateProcessByName('c:\program files\smss.exe');
TerminateProcessByName('c:\windows\system32\jarinet\qqextrenal.exe');
TerminateProcessByName('c:\documents and settings\фф\pieva.exe');
TerminateProcessByName('c:\documents and settings\фф\application data\msconfig.exe');
TerminateProcessByName('c:\documents and settings\фф\local settings\application data\ezprivacysub2.exe');
TerminateProcessByName('c:\windows\chinde.exe');
SetServiceStart('ПµНі№Шјь·юОс', 4);
StopService('ПµНі№Шјь·юОс');
QuarantineFile('C:\WINDOWS\system32\odwclfb.dll','');
QuarantineFile('C:\Утилиты\Программы для интернета\123.exe','');
QuarantineFile('C:\Утилиты\Программы для интернета\041.exe','');
QuarantineFile('C:\Утилиты\Программы для интернета\005.exe','');
QuarantineFile('C:\Documents and Settings\фф\dlay.exe','');
QuarantineFile('C:\Program Files\Bifrost\server.exe','');
QuarantineFile('C:\Утилиты\Программы для интернета\018.exe','');
QuarantineFile('C:\Program Files\АМБц ЗБ¶уАМ№цЅГ\EzPrivacy2.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\042.exe','');
QuarantineFile('C:\WINDOWS\system32\7DF045C6.sys','');
QuarantineFile('C:\Program Files\Znveevzsv.fnr','');
QuarantineFile('C:\Program Files\krnln.fne','');
QuarantineFile('C:\Program Files\Exmlrpc.fne','');
QuarantineFile('C:\Program Files\dp1.fne','');
QuarantineFile('c:\documents and settings\фф\application data\yl86g6nq.exe','');
QuarantineFile('c:\program files\smss.exe','');
QuarantineFile('c:\windows\system32\jarinet\qqextrenal.exe','');
QuarantineFile('c:\documents and settings\фф\pieva.exe','');
QuarantineFile('c:\documents and settings\фф\application data\msconfig.exe','');
QuarantineFile('c:\documents and settings\фф\local settings\application data\ezprivacysub2.exe','');
QuarantineFile('c:\windows\chinde.exe','');
DeleteFile('c:\documents and settings\фф\local settings\application data\ezprivacysub2.exe');
DeleteFile('c:\windows\system32\jarinet\qqextrenal.exe');
DeleteFile('C:\Program Files\dp1.fne');
DeleteFile('C:\Program Files\Exmlrpc.fne');
DeleteFile('C:\Program Files\krnln.fne');
DeleteFile('C:\Program Files\Znveevzsv.fnr');
DeleteFile('C:\WINDOWS\system32\7DF045C6.sys');
DeleteFile('C:\Program Files\smss.exe');
DeleteFile('C:\Documents and Settings\All Users\Application Data\042.exe');
DeleteFile('C:\Documents and Settings\фф\Application Data\YL86G6NQ.exe');
DeleteFile('C:\Documents and Settings\фф\Application Data\msconfig.exe');
DeleteFile('C:\Documents and Settings\фф\pieva.exe');
DeleteFile('C:\WINDOWS\chinde.exe');
DeleteFile('C:\Утилиты\Программы для интернета\018.exe');
DeleteFile('C:\Documents and Settings\фф\dlay.exe');
DeleteFile('C:\Утилиты\Программы для интернета\005.exe');
DeleteFile('C:\Утилиты\Программы для интернета\041.exe');
DeleteFile('C:\Утилиты\Программы для интернета\123.exe');
DeleteFile('C:\WINDOWS\system32\odwclfb.dll');
DeleteFile('C:\Program Files\bifrost\server.exe');
DelCLSID('{9B71D88C-C598-4935-C5D1-43AA4DB90836}');
if MessageDLG('Заражение Вашего компьютера произошло через автоматический запуск программ на съемных накопителях. Отключить автозапуск?', mtConfirmation, mbYes+mbNo, 0) = 6 then
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'NoDriveTypeAutoRun', '221');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','TX1W9BXAA3HA');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','WindowsUpdate');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','TX1W9BXAA3HA');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','TX1W9BXAA3HA');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','TX1W9BXAA3HA');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','pieva');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','WindowsUpdate');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','WindowsUpdate');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteService('ПµНі№Шјь·юОс');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\system32\7DF045C6.sys');
BC_DeleteSvc('ПµНі№Шјь·юОс');
BC_Activate;
ExecuteRepair(9);
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.
Пофиксите в HJT:
Код:
O4 - HKLM\..\Run: [TX1W9BXAA3HA] C:\Documents and Settings\фф\Application Data\YL86G6NQ.exe
O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\chinde.exe
O4 - HKLM\..\Run: [042.exe] C:\Documents and Settings\All Users\Application Data\042.exe
O4 - HKLM\..\Run: [WindowsUpdate] C:\Documents and Settings\фф\Application Data\msconfig.exe
O4 - HKCU\..\Run: [free-save] C:\Утилиты\Программы для интернета\018.exe
O4 - HKCU\..\Run: [pieva] C:\Documents and Settings\фф\pieva.exe /X
O4 - HKCU\..\Run: [WindowsUpdate] C:\Documents and Settings\фф\Application Data\msconfig.exe
O4 - HKLM\..\Policies\Explorer\Run: [TX1W9BXAA3HA] C:\Documents and Settings\фф\Application Data\YL86G6NQ.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\chinde.exe
O4 - HKCU\..\Policies\Explorer\Run: [TX1W9BXAA3HA] C:\Documents and Settings\фф\Application Data\YL86G6NQ.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\odwclfb.dllПовторите сканирование MBAM и удалите все найденное
Повторите логи AVZ и RSIT
- Сообщения
- 8,530
- Реакции
- 5,712
Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт
Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.
Пофиксите в HJT:
Повторите логи AVZ, RSIT и MBAM
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
TerminateProcessByName('c:\documents and settings\фф\application data\googlecrashhandler.exe');
QuarantineFile('C:\Program Files\АМБц ЗБ¶уАМ№цЅГ\EzPrivacy2.exe','');
QuarantineFile('C:\Program Files\InfoWise\InfoWise.exe','');
QuarantineFile('c:\documents and settings\фф\application data\googlecrashhandler.exe','');
QuarantineFile('C:\Program Files\Znveevzsv.exe','');
QuarantineFile('C:\WINDOWS\system32\44.tmp','');
QuarantineFile('C:\1.vbs','');
QuarantineFile('C:\Documents and Settings\фф\Application Data\ACHN4U.dll','');
QuarantineFile('C:\WINDOWS\system32\sysapp2.dll','');
QuarantineFile('C:\WINDOWS\system32\yumsimg32.dll','');
QuarantineFile('C:\WINDOWS\system32\yumidimap.dll','');
QuarantineFile('C:\WINDOWS\system32\yuksuser.dll','');
QuarantineFile('C:\WINDOWS\system32\7DF045C6.sys','');
DeleteFile('C:\Program Files\Znveevzsv.exe');
DeleteFile('C:\WINDOWS\system32\44.tmp');
DeleteFile('C:\1.vbs');
DeleteFile('C:\Documents and Settings\фф\Application Data\ACHN4U.dll');
DeleteFile('C:\WINDOWS\system32\sysapp2.dll');
DeleteFile('C:\WINDOWS\system32\yumsimg32.dll');
DeleteFile('C:\WINDOWS\system32\yumidimap.dll');
DeleteFile('C:\WINDOWS\system32\yuksuser.dll');
DeleteFile('C:\WINDOWS\system32\7DF045C6.sys');
DeleteFile('C:\Documents and Settings\фф\Application Data\GoogleCrashHandler.exe');
DeleteFile('C:\Program Files\InfoWise\InfoWise.exe');
DeleteFile('C:\Program Files\АМБц ЗБ¶уАМ№цЅГ\EzPrivacy2.exe');
DeleteFileMask('C:\Program Files\HanpanderPlayer', '*.*', true);
DeleteDirectory('C:\Program Files\HanpanderPlayer');
DeleteFileMask('C:\Program Files\АМБц ЗБ¶уАМ№цЅГ\', '*.*', true);
DeleteDirectory('C:\Program Files\АМБц ЗБ¶уАМ№цЅГ\');
DeleteFileMask('C:\Program Files\InfoWise\', '*.*', true);
DeleteDirectory('C:\Program Files\InfoWise\');
DeleteFileMask('C:\Program Files\bifrost\', '*.*', true);
DeleteDirectory('C:\Program Files\bifrost\');
DeleteFileMask('C:\Program Files\', '*.fnr', false);
DeleteFileMask('C:\Program Files\', '*.fne', false);
DeleteFileMask('c:\documents and settings\фф\application data\', '*.exe', false);
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','GoogleCrashHandler');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','InfoWise');
BC_ImportAll;
BC_DeleteSvc('7DF045C6');
ExecuteSysClean;
BC_Activate;
ExecuteRepair(10);
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.
Пофиксите в HJT:
Код:
O4 - HKCU\..\Run: [GoogleCrashHandler] C:\Documents and Settings\фф\Application Data\GoogleCrashHandler.exe
O4 - HKLM\..\Run: [InfoWise] C:\Program Files\InfoWise\InfoWise.exeПовторите логи AVZ, RSIT и MBAM
скрипт выполнил, карантин выслал.
Но после выполнения второго скрипта перестал запускаться хром.
Выдает ошибку: "Точка входа в процедуру yumsimg32.AlphaBlend не найдена в библиотеке DLL msimg32.dll". При входе в систему, компьютер требует якобы пароль, но на самом деле пароля нету, поэтому для входа в систему я в поле ввода пароля ничего не ввожу, а просто нажимаю ОК. Но все равно наличие окошки с требованием ввода пароля меня напрягает.
Сейчас готовлю новые логи
Но после выполнения второго скрипта перестал запускаться хром.
Выдает ошибку: "Точка входа в процедуру yumsimg32.AlphaBlend не найдена в библиотеке DLL msimg32.dll". При входе в систему, компьютер требует якобы пароль, но на самом деле пароля нету, поэтому для входа в систему я в поле ввода пароля ничего не ввожу, а просто нажимаю ОК. Но все равно наличие окошки с требованием ввода пароля меня напрягает.
Сейчас готовлю новые логи
- Сообщения
- 8,530
- Реакции
- 5,712
удалил еще до вашего поста.
пробывал, не помогает. Все равно окно с вводом пароля появляется при загрузке.
Окна проводника также по-прежнему искажены.
не могу переустановить. "Установка и удаление программ" в панели упарвлении не открывается. Хотел бы узнать почему.
Окна в проводнике искажены (смотрите скрин)
Вложения
- Сообщения
- 8,530
- Реакции
- 5,712
Попробуйте переустановку Windows в режиме восстановления
а если не поможет?
- Статус