Решена народ хэлп
- Автор темы Кирилл
- Дата начала
- Статус
- Сообщения
- 14,053
- Решения
- 2
- Реакции
- 5,746
да я комп разблокировал,даже пару червяков удалил.
но после рестарта все опять заразилось-недолечил что то.
сейчас я пишу из под зараженной учетки на прлблемном компе...
но все равно лайв сделаю и пришлю результат.
но после рестарта все опять заразилось-недолечил что то.
сейчас я пишу из под зараженной учетки на прлблемном компе...
но все равно лайв сделаю и пришлю результат.
- Сообщения
- 14,053
- Решения
- 2
- Реакции
- 5,746
- Сообщения
- 14,053
- Решения
- 2
- Реакции
- 5,746
C:\Documents and Settings\Root\Application Data\Sun\Java\Deployment\cache\6.0\41\52381169-639f6c28 = ZIP = x/g.class - модифицированный Java/Exploit.CVE-2012-4681.BX троянская программа
po hodu otsuda nogi rastut,budu dalshe smotret
po hodu otsuda nogi rastut,budu dalshe smotret
- Сообщения
- 9,327
- Реакции
- 3,980
1. Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.
После выполнения скрипта компьютер перезагрузится!
2. Сделайте новый лог Rsit и прикрепите к сообщению.
3. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Программу не закрывайте и самостоятельно ни чего не удаляйте!
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
DeleteFile('C:\WINDOWS\apppatch\dxyqnq.exe');
DeleteFile('C:\Temp\not.exe');
RegKeyDel('HKEY_LOCAL_MACHINE', 'software\microsoft\shared tools\msconfig\startupreg\Load',);
RegKeyDel('HKEY_LOCAL_MACHINE', 'software\microsoft\shared tools\msconfig\startupreg\RTHDCPL',);
RegKeyDel('HKEY_LOCAL_MACHINE', 'software\microsoft\shared tools\msconfig\startupreg\Run',);
RegKeyDel('HKEY_LOCAL_MACHINE', 'software\microsoft\shared tools\msconfig\startupreg\S15513178',);
RegKeyDel('HKEY_LOCAL_MACHINE', 'software\microsoft\shared tools\msconfig\startupreg\S165388',);
RegKeyDel('HKEY_LOCAL_MACHINE', 'software\microsoft\shared tools\msconfig\startupreg\S18711614',);
RegKeyDel('HKEY_LOCAL_MACHINE', 'software\microsoft\shared tools\msconfig\startupreg\S5416387',);
RegKeyDel('HKEY_LOCAL_MACHINE', 'software\microsoft\shared tools\msconfig\startupreg\S5510412',);
RegKeyDel('HKEY_LOCAL_MACHINE', 'software\microsoft\shared tools\msconfig\startupreg\S865318',);
RegKeyDel('HKEY_LOCAL_MACHINE', 'software\microsoft\shared tools\msconfig\startupreg\S97120103',);
RegKeyDel('HKEY_LOCAL_MACHINE', 'software\microsoft\shared tools\msconfig\startupreg\userinit',);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.После выполнения скрипта компьютер перезагрузится!
2. Сделайте новый лог Rsit и прикрепите к сообщению.
3. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Программу не закрывайте и самостоятельно ни чего не удаляйте!
- Сообщения
- 6,016
- Реакции
- 4,088
Отключите:
Антивирус/Файерволл
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
После выполнения скрипта компьютер перезагрузится!
После перезагрузки выполните такой скрипт:
AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему
Антивирус/Файерволл
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
DeleteFile('C:\Documents and Settings\Root\ms.exe');
DeleteFile('c:\documents and settings\root\0.311477232744072.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.После выполнения скрипта компьютер перезагрузится!
После перезагрузки выполните такой скрипт:
AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему
- Сообщения
- 14,053
- Решения
- 2
- Реакции
- 5,746
послеповторного рестарта все вернулось...
я имею ввиду реклама в браузерах,папандеры,не запускаются программы,при изменении региональных настроек и раскладки клавы все сбивается на англииский,язык клавиатуры если добавляю то после применения операции она исчезает....
антивирус сменил-начал ловить соединения с вредными сайтами,но так же слеп как и каспер и доктор веб(((
Добавлено через 1 минуту 37 секунд
И зачем я только согласился помочь?...
я имею ввиду реклама в браузерах,папандеры,не запускаются программы,при изменении региональных настроек и раскладки клавы все сбивается на англииский,язык клавиатуры если добавляю то после применения операции она исчезает....
антивирус сменил-начал ловить соединения с вредными сайтами,но так же слеп как и каспер и доктор веб(((
Добавлено через 1 минуту 37 секунд
И зачем я только согласился помочь?...
- Сообщения
- 14,053
- Решения
- 2
- Реакции
- 5,746
новые логи из под зараженной учетной записи.
Посмотреть вложение virusinfo_syscheck.zip
Посмотреть вложение virusinfo_syscure.zip
Посмотреть вложение MBAM-log-2013-01-05 (09-12-31).txt
Посмотреть вложение info.txt
Посмотреть вложение log.txt
Посмотреть вложение virusinfo_syscheck.zip
Посмотреть вложение virusinfo_syscure.zip
Посмотреть вложение MBAM-log-2013-01-05 (09-12-31).txt
Посмотреть вложение info.txt
Посмотреть вложение log.txt
- Сообщения
- 14,923
- Решения
- 5
- Реакции
- 6,856
Код:
C:\Documents and Settings\Root\Application Data\88371061 (Rogue.Multiple) -> No action taken.
C:\Documents and Settings\TEMP\Local Settings\Application Data\Opera\Opera\cache\g_0014\opr0022G.tmp (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Root\Application Data\88371061\pass.logПосле этого заново просканируй MBAM и выложи новый лог.
Код:
C:\Зав\касса\Protek\UUCP\LIB\UUCICO.DLLОпиши подробней проблемы, которые остались.
Добавлено через 2 минуты 23 секунды
+ сделай ещё такой лог https://safezone.cc/forum/showthread.php?t=18205
+ AVZPM отключи.
- Сообщения
- 14,053
- Решения
- 2
- Реакции
- 5,746
https://www.virustotal.com/file/04a...fa38a2459d151622391239b5/analysis/1357377269/
результат вирустотал
лог щас сделаю
результат вирустотал
лог щас сделаю
- Сообщения
- 14,053
- Решения
- 2
- Реакции
- 5,746
regist, в общем проблемы остаются:
реклама в браузерах,1 с не запускается,хотя в другой учетке работает.
файлы архива запускаются только через проводник,на рабочем столе из тырнета ничего не сохраняется,хотя если открыть папку рабочего стола через проводник то там файлы будут.
лог прилагаю
Посмотреть вложение Result2.txt
реклама в браузерах,1 с не запускается,хотя в другой учетке работает.
файлы архива запускаются только через проводник,на рабочем столе из тырнета ничего не сохраняется,хотя если открыть папку рабочего стола через проводник то там файлы будут.
лог прилагаю
Посмотреть вложение Result2.txt
- Сообщения
- 8,444
- Реакции
- 5,471
В настройках роутера уберите этот DNS:
Пропишите провайдерский или альтернативный
Код:
88.198.15.115Пропишите провайдерский или альтернативный
- Сообщения
- 9,327
- Реакции
- 3,980
Затем сделай правку
Код:
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
- Статус