Перейти к содержанию
Правила раздела

DODA\NeST.exe

sa1nt

От sa1nt
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

sa1nt Новичок

sa1nt

Опубликовано
Опубликовано

Товарищи.очень сильно нужна помощь знающих людей..по какой то нелепой случайности антивирь дал установить трояна в скрытой папке по адресу С:\DODA\NeST.exe

и сним еще немного всяких штучек...антивирус не может удалить.постоянно запрашивает дозвон на неизвестный номер,портит флешки,накрылась опера и аська.работает только стандартный браузер.вот.троян сделал запись в реестре и в системном файле explorer которые никак не удалить.скрытые папки тоже удалить не получается.также не работают еще некоторые программы.полная проверка ни к чему не привела.помогите пожалуйста!не знаю что делать....подхватил заразу....антивирус версии 6.0.3.буду признателен

Ссылка на комментарий
Поделиться на другие сайты
  • Ответов 50
  • Created
  • Последний ответ

Top Posters In This Topic

  • sa1nt

    24

  • snifer67

    7

  • thyrex

    6

  • Roman_Five

    6

Popular Days

Top Posters In This Topic

Popular Days

Popular Posts

Bl@ckMC
Bl@ckMC

Вот так :

snifer67
snifer67

Сделаем по другому:     Запустите Gmer. Нажмите на кнопку «>>>» для отображения дополнительных функций программы. Выбрать вкладку CMD. В верхнее окно скопируйте текст ниже и запустите (Run

sa1nt Новичок

sa1nt

Опубликовано
  • Автор
Опубликовано

так..

http://slil.ru/28988506 это hijackthis

http://slil.ru/28988518 это virusinfo_syscheck

http://slil.ru/28988527 это virusinfo_syscure

 

 

кстати AVZ не обнаружила ни одного вируса.хотя проверяла оч долго

Ссылка на комментарий
Поделиться на другие сайты
ТроПа Ветеран

ТроПа

Опубликовано
Опубликовано

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\docume~1\user\locals~1\temp\bdmusicb.sys','');
QuarantineFile('c:\recycler\s-1-5-21-1482476501-1644491937-682003330-1033\conmgr.exe','');
DeleteFile('c:\docume~1\user\locals~1\temp\bdmusicb.sys');
DeleteFile('c:\recycler\s-1-5-21-1482476501-1644491937-682003330-1033\conmgr.exe');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
DeleteService('bdmusicb');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

 

Cкачайте Gmer. Gmer со случайным именем. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log

 

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится лог сохраниться в файл C:\ComboFix.txt

 

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

ComboFix. Руководство по применению.

Восстановление подключения к сети Интернет после использования Combofix

 

Выложите логи ComboFix и Gmer.

Ссылка на комментарий
Поделиться на другие сайты
sa1nt Новичок

sa1nt

Опубликовано
  • Автор
Опубликовано

итак...все делал как было описано выше..выкладываю логи

http://slil.ru/28989246 это Gmer

http://slil.ru/28989252 это ComboFix

от лаборатории пришло уведомление что мое письмо отправлено аналитику..

 

заметил ряд изменений после использования ComboFix..теперь недоступные раннее файлы и папки спокойно отображаются на диске..в том числе и злосчастная папка DODA в которой лежит вирус.до этого мне не удавалось ее просмотреть.а также были внесены изменения в системные файлы и реестр.в папке ComboFix лежит очень много всего.поясните пожалуйста все на доступном языке а то что то я запутался.спасибо

Ссылка на комментарий
Поделиться на другие сайты
ТроПа Ветеран

ТроПа

Опубликовано
Опубликовано (изменено)

Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится gmer.exe

gmer.exe -del service wycvxwij
gmer.exe -del file "C:\WINDOWS\system32\kslrfqz.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\wycvxwij"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\wycvxwij"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\wycvxwij"
gmer.exe -reboot

И запустите сохранённый пакетный файл cleanup.bat.

Внимание: Компьютер перезагрузится!

Сделайте новый лог gmer.

Повторите логи гмер, комбофикс и АВЗ.

Изменено пользователем thyrex
Ссылка на комментарий
Поделиться на другие сайты
snifer67 Ветеран

snifer67

Опубликовано
Опубликовано

Сделаем по другому:

 

 

Запустите Gmer. Нажмите на кнопку «>>>» для отображения дополнительных функций программы. Выбрать вкладку CMD. В верхнее окно скопируйте текст ниже и запустите (Run)

gmer.exe -del service wycvxwij
gmer.exe -del file "C:\WINDOWS\system32\kslrfqz.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\wycvxwij"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\wycvxwij"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\wycvxwij"
gmer.exe -reboot

Сделайте новый лог gmer.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
sa1nt Новичок

sa1nt

Опубликовано
  • Автор
Опубликовано

Я медленно схожу с ума.вынужден писать через телефон.так как дела очень не хорошо..после применения последнего скрипта программа выдала ошибку и компьютер выключился.а когда я его включил то антивирус накрылся.теперь компоненты защиты не работают.и он вообще не включается.То есть защита сломалась.а также вообще не зайти в интернет.та папка с вирусом стала вновь недоступна.зато плеер заработал и блокнот.Что мне делать?комп с работы.если увидят мне будет п...ц.^_^.:lol:помалуе пожалуйста

 

сделал восстановление системы.все вернулось в состояние ДО применения последнего скрипта.но опять не работает плеер, блокнот и т.д.

ясно что этот скрипт не заработает(((HELP

Ссылка на комментарий
Поделиться на другие сайты
vit9696 Гигант мысли

vit9696

Опубликовано
Опубликовано
Я медленно схожу с ума.вынужден писать через телефон.так как дела очень не хорошо..после применения последнего скрипта программа выдала ошибку и компьютер выключился.а когда я его включил то антивирус накрылся.теперь компоненты защиты не работают.и он вообще не включается.То есть защита сломалась.а также вообще не зайти в интернет.та папка с вирусом стала вновь недоступна.зато плеер заработал и блокнот.Что мне делать?комп с работы.если увидят мне будет п...ц.^_^.:lol:помалуе пожалуйста

 

сделал восстановление системы.все вернулось в состояние ДО применения последнего скрипта.но опять не работает плеер, блокнот и т.д.

ясно что этот скрипт не заработает(((HELP

Логи заново.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем
×
×
  • Создать...