Перейти к содержанию

Помогите лечить ПК.


ElenKa

Рекомендуемые сообщения

Мне посоветовали обратиться сюда. В ноябре комп уже летел. Боюсь, что хочет опять.

Не могу активировать ключ. :give_rose: Отсутствует "Черный" список.

virusinfo_syscheck.htm

virusinfo_syscheck.zip

hijackthis.log

Изменено пользователем ElenKa
Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
ClearHostsFile;
TerminateProcessByName('c:\program files\ticno\tabs\ticno tabs.exe');
TerminateProcessByName('c:\program files\ticno\tabs\tiny.exe');
TerminateProcessByName('C:\WINDOWS\system32\C1A82A\986223.EXE');
SetServiceStart('sysdrv32', 4);
SetServiceStart('kgrwhlcu', 4);
SetServiceStart('mkdrv', 4);
StopService('sysdrv32');
StopService('mkdrv');
QuarantineFile('C:\WINDOWS\hfnmc.sys','');
QuarantineFile('C:\WINDOWS\system32\*.scr','');
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
QuarantineFile('c:\program files\ticno\*.*','');
QuarantineFile('iexplore.exe','');
QuarantineFile('ldr.dll','');
QuarantineFile('C:\Documents and Settings\User\Application Data\samson\winarj.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\sysdrv32.sys','');
QuarantineFile('C:\WINDOWS\system32\*.tmp','');
QuarantineFile('C:\WINDOWS\system32\drivers\nvhda32.sys','');
QuarantineFile('C:\WINDOWS\sgope.sys','');
DeleteFile('C:\WINDOWS\sgope.sys');
DeleteFileMask('C:\WINDOWS\system32\','*.tmp ',false ,' ');
DeleteFile('C:\Documents and Settings\User\Application Data\samson\winarj.exe');
DeleteFileMask('C:\WINDOWS\system32\C1A82A\','*.* ',true ,' ');
DeleteDirectory('C:\WINDOWS\system32\C1A82A\',' ');
DeleteFileMask('C:\WINDOWS\system32\','*.scr ',false ,' ');
DeleteFile('\?\C:\WINDOWS\sgope.sys');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
DeleteFile('C:\WINDOWS\hfnmc.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\sysdrv32.sys');
DelBHO('{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','winxarj');
DeleteService('sysdrv32');
DeleteService('kgrwhlcu');
DeleteService('mkdrv');
DelAutorunByFileName('C:\WINDOWS\system32\C1A82A\986223.EXE');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\sgope.sys');
BC_DeleteFile('C:\Documents and Settings\User\Application Data\samson\winarj.exe');
BC_DeleteFile('\?\C:\WINDOWS\sgope.sys');
BC_DeleteFile('C:\WINDOWS\hfnmc.sys');
BC_DeleteFile('C:\WINDOWS\system32\Drivers\sysdrv32.sys');
BC_DeleteSvc('mkdrv');
BC_DeleteSvc('sysdrv32');
BC_Activate;
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.net
O1 - Hosts: fdfb6tyhjhg56
O1 - Hosts: 76.76.116.123 www.telebank.ru
O1 - Hosts: 76.76.116.123 telebank.ru
O1 - Hosts: 76.76.116.126 www.alfabank.ru
O1 - Hosts: 76.76.116.126 alfabank.ru
O1 - Hosts: 76.76.116.126 click.alfabank.ru
O1 - Hosts: 76.76.116.124 sbrf.ru
O1 - Hosts: 76.76.116.124 www.sbrf.ru
O1 - Hosts: 76.76.116.124 www.esk.sbrf.ru
O1 - Hosts: 76.76.116.124 esk.sbrf.ru
O1 - Hosts: 76.76.116.126 www.click.alfabank.ru
O1 - Hosts: довать соответствующее имя.
O2 - BHO: BhoApp Class - {0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} - C:\Program Files\Ticno\Tabs\BhoNew_0317.dll
O4 - HKLM\..\Run: [winxarj] "C:\Documents and Settings\User\Application Data\samson\winarj.exe" autostart
O4 - HKCU\..\RunOnce: [ie_bar] iexplore.exe http://ticno.com/?c=first
O4 - Global Startup: Tabs.lnk = C:\Program Files\Ticno\Tabs\Ticno Tabs.exe

 

Проверьте компьютер утилитой TDSSkiller из данной статьи.

http://support.kaspersky.ru/faq/?qid=208639606

Полученный лог из корня диска С приложите к новому сообщению.

+

Сделайте новые логи по правилам.

+

Сделайте лог GMER

http://forum.kasperskyclub.ru/index.php?sh...st&p=108482

полученный лог прикрепите.

Изменено пользователем Roman_Five
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Проверьте систему на Kido

инструкция в личке.

 

После проверки:

1) деинсталлируйте Ticno Tabs (раз не нужен)

2) выполните скрипт:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
SetServiceStart('wfnrozvw', 4);
StopService('NVHDA');
StopService('wfnrozvw');
QuarantineFile('ldr.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\nvhda32.sys','');
QuarantineFile('C:\WINDOWS\system32\02.tmp','');
DeleteFile('C:\WINDOWS\system32\02.tmp');
DeleteFileMask('C:\Program Files\Ticno\','*.* ',true ,' ');
DeleteDirectory('C:\Program Files\Ticno\ ',' ');
DeleteService('wfnrozvw');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\system32\02.tmp');
BC_DeleteSvc('wfnrozvw');
BC_Activate;
ExecuteWizard('TSW',1,1,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

3) скачайте OSAM

установите. запустите. дождитесь окончания сканирования.

полученный лог osam.html прикрепите к новому сообщению.

 

4) Сделайте новые логи по правилам.

 

P.s.:

рано или поздно Вам придётся проделать ещё эти операции (самое важное - установить SP3 и обновления на Windows). можно уже начинать, параллельно с лечением.

 

После проведённого лечения рекомендуется установить следующие обновления:

- установить текущий пакет обновлений (SP) для Windows (может потребоваться активация Windows)

* выберите SP для своей версии Windows: Windows XP - SP3, Windows Vista x86 - SP2x86, Windows Vista x64 - SP2x64, Windows 7 x86 - SP1x86, Windows 7 x64 - SP1x64

- обновить Internet Explorer до версии 8.0 (даже если им не пользуетесь!)

- все обновления на Windows (может потребоваться активация Windows)

Ссылка на комментарий
Поделиться на другие сайты

ElenKa,

Вы выполняли скрипт из моего прошлого поста?

если да, повторите его выполнение в безопасном режиме.

если нет, сделайте в обычном.

после этого обновите базы AVZ и сделайте 2 новых лога.

 

запустите OSAM. дождитесь окончания сканирования.

в дереве слева в разделе Drivers выберите ветку HKLM\SYSTEM\CurrentControlSet\Services

справа найдите объект "wfnrozvw" (wfnrozvw)

правый клик по нему - Turn run OFF

в дереве слева в разделе Services выберите ветку HKLM\SYSTEM\CurrentControlSet\Services

справа найдите объект "Image System" (euxrjtay)

правый клик по нему - Turn run OFF

внизу справа нажмите Apply

перезагрузите компьютер.

запустите OSAM. дождитесь окончания сканирования.

вверху слева нажмите Save Log

полученный лог osam.html прикрепите к новому сообщению.

Ссылка на комментарий
Поделиться на другие сайты

ElenKa, вы выполнили рекомендации из этих постов?

 

ElenKa,

Вы выполняли скрипт из моего прошлого поста?

если да, повторите его выполнение в безопасном режиме.

если нет, сделайте в обычном.

после этого обновите базы AVZ и сделайте 2 новых лога.

 

запустите OSAM. дождитесь окончания сканирования.

в дереве слева в разделе Drivers выберите ветку HKLM\SYSTEM\CurrentControlSet\Services

справа найдите объект "wfnrozvw" (wfnrozvw)

правый клик по нему - Turn run OFF

в дереве слева в разделе Services выберите ветку HKLM\SYSTEM\CurrentControlSet\Services

справа найдите объект "Image System" (euxrjtay)

правый клик по нему - Turn run OFF

внизу справа нажмите Apply

перезагрузите компьютер.

запустите OSAM. дождитесь окончания сканирования.

вверху слева нажмите Save Log

полученный лог osam.html прикрепите к новому сообщению.

 

1) антивирус можете отключить на время выполнения скрипта?

2) если запрещено политикой - применить для всех и разрешить

 

Если делали, расскажите что именно и что не получилось? Вижу, что лог OSAM вы сделали, а действия с выделенными объектами (wfnrozvw и euxrjtay) совершали?

Изменено пользователем Tiare
Ссылка на комментарий
Поделиться на другие сайты

На данный момент все уже вроде получилось. Отключила антивирус и выполнила скрипт.

Вижу, что лог OSAM вы сделали, а действия с выделенными объектами (wfnrozvw и euxrjtay) совершали?- совершала.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Jortin
      От Jortin
      Доброго дня! Неизвестно когда успел подцепить вирус HEUR:Trojan.Multi.GenBadur.genw. 
      По поведению вируса все то же самое что и написано в его описании, сначала появляется окно с предложением лечения вируса с перезагрузкой, но после нее, он появляется  вновь. Файл автологгера прикрепляю.
      CollectionLog-2024.11.07-09.15.zip
    • barank1n
      От barank1n
      Висит примерно уже две недели. Руки дошли только сегодня. Установлен Kaspersky Anti-Virus. Kaspersky обнаруживает этот троян после каждого запуска ПК, даже после лечения.  Образ Windows не официальный. Прикрепляю к данной теме файл с логами.
      CollectionLog-2024.10.22-22.01.zip report1.log report2.log
    • ska79
      От ska79
      Для приготовления понадобится:
      5 или 6 кабачков.
      морковь 4 шт среднего размера.
      лук 5 луковок.
      перец болгарский зеленый 4 штуки.
      томатная паста 4 ложки.
      соль 2 с половиной столовых ложки.
      сахар 6 столовых ложек.
      Перец душисты горошек 7 горошин.
      лавровый лист 7 листьев
      масло подсолнечное  250 мл
      вода 200 мл
      Лимонная кислота (1 чайную ложку кислоты растворяем в 14 столовых ложках воды) - 3 столовых ложки раствора
       
      Чистим кабачки от кожуры и семян, режем мелкими кусочками (так как блендера не имею) и вываливаем их в кастрюлю, морковь чистим натираем на терке добавляем в кастрюлю к кабачкам, лук нарезаем кольцами, очищаем перец болгарский от семян, нарезаем и в кастрюлю, добавляем масло подсолнечное и воду
      Добавляем сахар, соль, лавровый лист, душистый перец в кастрюлю. Ставим кастрюлю на плиту.
      После закипания варим 30 минут периодически перемешивая содержимое кастрюли, через 30 минут с момента закипания добавляем томатную пасту, варим еще 20 минут, добавляем раствор лимонной кислоты 3 столовых ложки, снимаем кастрюлю с плиты и раскладываем содержимое кастрюли по предварительно простерелизованным банкам, закатываем банки крышками, и переворачиваем вверх дном, накрываем полотенцем. и оставляем до те пор пока не остынутю
      После остывания убираем в холодильник.
      Лимонную кислоту использовал по причине отсутствия уксуса
       

       
    • tubizzz
      От tubizzz
      Обнаружил что грузится процессор на 70% при запуске. Через процесс Хакер вижу два проводника. Один нормальный а второй как раз и грузит проц. Через доктор веб находит вирус этот, но не может вылечить, через процесс хакер его замораживать только могу. Читал на форуме про это и через прогу видит внедренный процесс
      \Net\9564\TCP\5.188.137.200-80\Device\HarddiskVolume5\Windows\explorer.exe
    • RusLine
      От RusLine
      Здравствуйте помогите чем сможете. Скачал с nnmclub total commander попользовался а утром зашифровало все фото файлы важные. Подскажите что делать ?
        



×
×
  • Создать...