Перейти к содержанию
Правила раздела

Есть ли вирусы?

Modenaz

От Modenaz
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Modenaz Новичок

Modenaz

Опубликовано
Опубликовано (изменено)

Приветствую! Недавно система подверглась заражению, антивирусом пролечил, но возможно вирусы на ноутбуке остались. Плюс ко всему до этого( около трех недель назад) перестали работать USB-порты, так до сих пор и не работают, обновление драйверов в диспетчере устройств не помогает. Может система повреждена? Вот, посмотрите, пожалуйста, логи на всякий случай.

 

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Изменено пользователем Modenaz
Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано (изменено)

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
SetServiceStart('sysdrv32', 4);
SetServiceStart('yjqohh', 4);
SetServiceStart('wbgwj', 4);
SetServiceStart('spzmsu', 4);
SetServiceStart('rtwvrm', 4);
SetServiceStart('gadfeg', 4);
SetServiceStart('azypjtmc', 4);
QuarantineFile('c:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\Drive13.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\XF0FmEA.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\FchULCF.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\sysdrv32.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\d348bus.SYS','');
QuarantineFile('C:\WINDOWS\system32\01.tmp','');
QuarantineFile('C:\WINDOWS\system32\drivers\av5flt.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\numnpn.sys','');
QuarantineFile('c:\DOCUME~1\heirees\LOCALS~1\Temp\Rar$EX01.797\vfd.sys','');
DeleteFile('C:\WINDOWS\system32\01.tmp');
DeleteFile('C:\WINDOWS\system32\drivers\sysdrv32.sys');
DeleteFile('\\?\globalroot\systemroot\system32\FchULCF.exe');
DeleteFile('\\?\globalroot\systemroot\system32\XF0FmEA.exe');
DeleteFile('c:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\Drive13.exe');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-21CX1C635622}');
DeleteService('sysdrv32');
DeleteService('yjqohh');
DeleteService('wbgwj');
DeleteService('spzmsu');
DeleteService('rtwvrm');
DeleteService('gadfeg');
DeleteService('azypjtmc');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(1);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

 

Отправьте на проверку файл Quarantine.zip из папки AVZ

Сообщение от модератора thyrex
на newvirus@kaspersky.com

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

F2 - REG:system.ini: UserInit=C:WINDOWSsystem32userinit.exe,\?globalrootsystemrootsystem32XF0 FmEA.exe,\?globalrootsystemrootsystem32FchULCF.exe,
R3 - URLSearchHook: (no name) - - (no file)

 

Сообщение от модератора thyrex
Сделайте новые логи

 

Сделайте лог GMER.

Изменено пользователем thyrex
Ссылка на комментарий
Поделиться на другие сайты
Modenaz Новичок

Modenaz

Опубликовано
  • Автор
Опубликовано

begin

CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');

end.

- почему-то этот скрипт дает такой файл, на который сервер ругается: "Файл не является архивом с карантином AVZ !"

Ссылка на комментарий
Поделиться на другие сайты
Modenaz Новичок

Modenaz

Опубликовано
  • Автор
Опубликовано

Пытался отправить на virusinfo.info, не получилось

 

А потом просто отправил на newvirus@kaspersky.com. Пока только ответ автоматической системы пришел. Папка Qurantine весит 5, 21 кб

Ссылка на комментарий
Поделиться на другие сайты
Modenaz Новичок

Modenaz

Опубликовано
  • Автор
Опубликовано (изменено)

Вот сделал новые логи. Лог gmer сделать не получается, во время работы этой утилиты зависает система. Кстати, пока делал логи, отключил, как и рекомендуется, антивир и брандмауэр( интернет остался подключенным). Как результат - новое заражение. Сейчас сделал полную проверку антивирусом, кое-какие вирусы удалились. Но думаю зараза еще осталась

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено пользователем Modenaz
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

В 911 Ваша тема?

 

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.

Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Ссылка на комментарий
Поделиться на другие сайты
Modenaz Новичок

Modenaz

Опубликовано
  • Автор
Опубликовано (изменено)

В 911 тема называется "вирусы". Могу я перед запуском combo, отключить интернет, чтобы не было нового заражения и можно ли делать логи в avz c отключенным интернетом ?

Изменено пользователем Modenaz
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. 

KillAll::

File::

Driver::
mzxmcmia
nqbjjvub
jjefdbg
nrcbezakz
wljpyt
riwvouoa
gmbdlkli
wcvuzou
tjvqkq
hzmbekho
gsatbpq
eisfs
hamzeuyv
odvvidyjk
cepoozjrt
mwtklkajh
nwqofnupo
kiuimwi
aoimrkwyt
kzuhc
caurm
bbxggyqvl
wwvfe
xvlywcarc
wzlzenx
xqwlxpalq
lzyzem
lhjqyhij
trltgq
bbofoympn
ubvvj
xqajft
pyypr
kovlqzn
bqaybwr
swomt
ijvtb
pxndox
btlwf
rptmx
etgznigsb
evpnbgsau
fjsmyorna
sypmqtz
qgvirefez
ouipsb
czawhjvm
pvscr
nbcjj
vryrcv
bcbtrl
rvachqd
bccnyc
hkqoftfj
owjbbd
cuhagv
jwaqoyjjz

NetSvc::
mzxmcmia
nqbjjvub
jjefdbg
nrcbezakz
wljpyt
riwvouoa
gmbdlkli
wcvuzou
tjvqkq
hzmbekho
gsatbpq
eisfs
hamzeuyv
odvvidyjk
cepoozjrt
mwtklkajh
nwqofnupo
kiuimwi
aoimrkwyt
kzuhc
caurm
bbxggyqvl
wwvfe
xvlywcarc
wzlzenx
xqwlxpalq
lzyzem
lhjqyhij
trltgq
bbofoympn
ubvvj
xqajft
pyypr
kovlqzn
bqaybwr
swomt
ijvtb
pxndox
btlwf
rptmx
etgznigsb
evpnbgsau
fjsmyorna
sypmqtz
qgvirefez
ouipsb
czawhjvm
pvscr
nbcjj
vryrcv
bcbtrl
rvachqd
bccnyc
hkqoftfj
owjbbd
cuhagv
jwaqoyjjz

Folder::
C:\FOUND.005
C:\FOUND.004
C:\FOUND.003
C:\FOUND.002

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3305:TCP"=-

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

cfscript.gif

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. 

KillAll::

File::
c:\windows\system32\4AF08F1659.sys

Driver::

Folder::
C:\FOUND.007
C:\FOUND.006

Registry::

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

cfscript.gif

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • civiero
      Вирус или нет?
      От civiero
      При просмотре видео на ютуб останавливается видео и появляется звуки костей, или слово amazing. Нужно ли волноваться по этому поводу? Антивирус ничего не выдает.
    • Gagik
      Поймал вирус
      От Gagik
      Поймал вирус не знаю из за чего и ни чем не определяется почти,вроде как dwm процесс называется,при открытии диспетчера задач,не отображается и нагрузка сразу спадает,в простое нагревает процессор до 90 градусов
    • lomosow
      NET:MALWARE.URL Вирус
      От lomosow
      Поймал вирусняк, открывает edge при заходе в систему, Dr.web его обнаруживает, но удалить его не может, пишет "ошибка лечения". называется NET:MALWARE.URL. UPD. веб перестал его обнаруживать, но проблема никуда не делась 
    • Mr. Denp
      Вирусы: HEUR:Trojan.Multi.GenBadur.genw и HEUR:Trojan.Script.Generic
      От Mr. Denp
      Добрый день!
       
      Уже как несколько месяцев сижу с пойманными вирусами. Первый появился: HEUR:Trojan.Multi.GenBadur.genw - Касперский пытается устранить, но безуспешно.
      Процесс лечения заканчивается следующей ошибкой:

       
      Происходит перезагрузка компьютера, затем очередная автоматическая проверка компьютера Касперским, и троян снова появляется с предложением удаления.
      И так по кругу. 
      Вирус находится в системной памяти.
       
      Второй - HEUR:Trojan.Script.Generic появился сравнительно недавно, после удаления Касперским, он также появляется заново.
       
      Большая просьба помочь решить проблему. Насколько это опасно? Можно ли что-то сделать?
      Склонялся к варианту переустановки винды, но потеря файлов и головная боль с повторной установкой всего напрягает.
       
      Винда официальная. Единственная причины возникновения, которая приходит на ум - это торрент.
       
      Заранее благодарен!
       
    • SiGiDi
      Вирус Петя, что делать
      От SiGiDi
      Вчера установил файл, после его распаковки вылез экран смерти и после череп который моргает красно белым цветом, что мне делать

×
×
  • Создать...