 |
|
|
27.01.2010, 17:18
|
#1 (ссылка) |
|
Новичок
Регистрация: 27.01.2010
Сообщений: 45
Репутация: 0
|
Вирус мешает жить
Прошу помочь!
С недавнего времени на компьютере появился тупой вирус.  Делает он вот что : 1) Появляется окошечко написанное на непонятном перекосяченном языке, нажав на ОК или закрывая окно, появляется следующее окно (на этот раз черное). в этот момент начинает ругаться антивирус NOD 32 на файлы в папке Temp, пишет что эти файлы являются: Win32/BHO.NWN Win32/Injector.ALW Win32/VB.ONG Win32/Agent.NTY 2) Антивирусник пишет что их удалил, однако появляется какоето зеленое окно с чертовой рекламой какойто китайской игры; 3) На рабочем столе появляются ярлыки Internet Explorer, ОчУОНш, ѕЕЦЮХЅјЗ, МФ±¦Нш 4) Тогда же и появляется папка C:\Program Files\WindowsGameCenter . В ней содержатся файлы bookmarks.dat, dangdangwang.ico, jiuzhou.ico, MiniGame.exe, run.bat, taobao.ico, zhuoyue.ico Причем на иконках некоторых из них китайские символы. 5) Папку можно удалить только закрыв в Диспетчере задач файл Service.exe, тоже появившийся там недавно. Через пару секунд он запускается вновь( Такая беда повторяется каждые 10-30 минут. Помогите пожалуйста решить проблему 
|
|
|
27.01.2010, 18:17
|
#3 (ссылка) |
|
Новичок
Регистрация: 27.01.2010
Сообщений: 45
Репутация: 0
|
Вот ссылка на файл http://webfile.ru/4260049
|
|
|
|
27.01.2010, 18:28
|
#4 (ссылка) |
|
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
Maniakxxl,
Запустите снова avz: Файл-Выполнить скрипт- в открывшееся окно внимательно вставьте текст: Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('rcuyngvm');
DeleteService('masdfeerm');
DeleteFile('c:\windows\conime.exe');
DeleteFile('c:\windows\system32\panp.exe');
DeleteFile('c:\windows\system32\sbdrv.exe');
DeleteFile('c:\windows\services\rc0\service.exe');
DeleteFile('c:\windows\winiogon.exe');
DeleteFile('c:\windows\system32\ctmsunsrv.dll');
DeleteFile('C:\WINDOWS\zAdBho.dll');
DeleteFile('c:\windows\winIogon.exe');
BC_DeleteFile('C:\WINDOWS\system32\drivers\zjptbaagdbw5.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\rcuyngvm.sys');
DeleteFile('C:\WINDOWS\system32\sbdrv.exe');
DeleteFile('c:\windows\wmiprsve.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\rcuyngvm.sys');
DeleteFile('C:\Documents and Settings\NetworkService\tths.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','MSConfig');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','MSConfig');
DeleteFile('C:\WINDOWS\TEMP\tro1264599400.exe');
DeleteFile('C:\WINDOWS\system32\ctmsunsrv.dll');
DeleteFile('C:\WINDOWS\system32\sshnas21.dll');
DeleteFile('C:\WINDOWS\msa.exe');
DeleteFile('C:\DOCUME~1\Max\LOCALS~1\Temp\Bg2.exe');
DeleteFile('C:\Windows\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job');
DeleteFile('C:\Windows\tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job');
DeleteFile('c:\windows\system32\svchost.exe:exe.exe:$DATA');
DelCLSID('{YMS03AB-B707-11d2-9CBD-0000F87A369E}');
DelCLSID('{CA99C4F6-85BD-4B68-ACF4-2699D3870850}');
DelBHO('{CA99C4F6-85BD-4B68-ACF4-2699D3870850}');
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(13);
RebootWindows(true);
end.
После перезагрузки выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip + лог утилитки hijackthis |
|
|
|
27.01.2010, 18:43
|
#5 (ссылка) |
|
Новичок
Регистрация: 27.01.2010
Сообщений: 45
Репутация: 0
|
Ок щас сделаю
---------- Добавлено в 17:43 ---------- Предыдущее сообщение было написано в 17:33 ---------- Вот лог hijackthis - http://webfile.ru/4260066 virusinfo_syscheck.zip - http://webfile.ru/4260067 Там запущенные процессы MySQL и Java нужны не примите за вирусы) |
|
|
|
27.01.2010, 18:55
|
#6 (ссылка) |
|
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
Maniakxxl,
запустить hijackthis кнопкой "Do a system scan only" Откроется таблица, в которой отметьте следующие строчки: Код:
R3 - URLSearchHook: (no name) - - (no file) F3 - REG:win.ini: load=C:\WINDOWS\services\rc0\service.exe F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe Запустите снова avz: Файл-выполнить скрипт- в открывшееся окно внимательно!!! вставить текст: Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('zjptbaagdbw5');
DeleteFile('c:\windows\services\rc0\service.exe');
DeleteFile('C:\WINDOWS\system32\drivers\zjptbaagdbw5.sys');
DeleteFile('C:\WINDOWS\TEMP\tro1264599400.exe');
DeleteFile('C:\WINDOWS\services\rc0\service.exe');
DeleteFile('C:\WINDOWS\system32\Iasid.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NetSoft');
ExecuteSysClean;
ExecuteRepair(6);
RebootWindows(true);
end.
|
|
|
|
27.01.2010, 19:41
|
#7 (ссылка) |
|
Новичок
Регистрация: 27.01.2010
Сообщений: 45
Репутация: 0
|
К сожалению, service.exe не удаляется ( Хотя с запуском виндовс уже это окно не вылазит! Но остался значок на раб. столе Internet Explorer, который невозможно удалить, нельзя посмотреть свойства или что-либо с ним сделать(
Вот архив там лог hijackthis + virusinfo_syscheck.zip - http://webfile.ru/4260081 ---------- Добавлено в 18:41 ---------- Предыдущее сообщение было написано в 18:08 ---------- проблему с файлом Internet Explorer решил |
|
|
|
27.01.2010, 19:50
|
#8 (ссылка) |
|
Эксперт
Регистрация: 08.09.2009
Сообщений: 10,716
Репутация: 960
|
Maniakxxl, Попробуйте в Безопасном режиме скрипт AVZ выполнить:
Код:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
DeleteFile('c:\windows\services\rc0\service.exe');
DeleteFile('C:\WINDOWS\system32\drivers\zjptbaagdbw5.sys');
DeleteFile('C:\Program Files\WindowsGameCenter\MiniGame.exe');
DeleteFile('C:\WINDOWS\Installer\{BEC99D86-1D70-4AB8-8D15-E116392F9B7D}\NewShortcut2_8AD8B45EA8E342398C8023822EDFD6EF.exe');
DeleteFile('C:\WINDOWS\TEMP\tro1264599400.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
|
|
|
| Ads | |
| Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы
|
||||
| Тема | Автор | Раздел | Ответов | Последнее сообщение |
| Кому на РРРРуси жить-то хорошо ??? | Neto-netak | Общение по интересам | 12 | 25.01.2011 11:45 |
| Вирус | PhenomenoN | Безопасность | 5 | 01.09.2010 14:38 |
| Это вирус? | rifat18 | Безопасность | 1 | 28.08.2010 22:19 |
| Вирус (реклама) который утверждает что он не вирус и подавляет все действия | Vado | Безопасность | 3 | 13.06.2010 16:40 |
| Сколько жить осталось ХП - философия | ЖекаПК | Windows XP | 5 | 17.05.2010 18:49 |
| От кота Леопольда: "Ребята, давайте жить дружно!" | Alla-N | Общение по интересам | 22 | 03.04.2010 13:44 |
| Рекламный модуль мешает работе! | mirabel | Безопасность | 4 | 12.03.2010 09:09 |
| Как вам такая конфигурация, жить будет?) | Никита95 | Выбор комплектующих | 48 | 05.02.2010 00:26 |
| файрволл мешает | bulatt | Безопасность | 3 | 17.11.2009 16:51 |
| Вирус... | Пользователь | Безопасность | 7 | 09.11.2009 12:40 |
| Вирус? | Raf-4 | Windows Vista | 2 | 06.11.2009 22:29 |
| Локальная сеть + adsl интернет мешают друг другу жить | Ferdinand | Windows XP | 24 | 25.02.2008 13:54 |
при попытке войти с ним, перезагружает машину. Ладно не буду ломать вам и себе мозг, переустановлю виндовс... спасибо за помощь!
