27.01.2010, 17:18 | #1 (ссылка) |
Новичок
Регистрация: 27.01.2010
Сообщений: 45
Репутация: 0
|
Вирус мешает жить
Прошу помочь!
С недавнего времени на компьютере появился тупой вирус. Делает он вот что : 1) Появляется окошечко написанное на непонятном перекосяченном языке, нажав на ОК или закрывая окно, появляется следующее окно (на этот раз черное). в этот момент начинает ругаться антивирус NOD 32 на файлы в папке Temp, пишет что эти файлы являются: Win32/BHO.NWN Win32/Injector.ALW Win32/VB.ONG Win32/Agent.NTY 2) Антивирусник пишет что их удалил, однако появляется какоето зеленое окно с чертовой рекламой какойто китайской игры; 3) На рабочем столе появляются ярлыки Internet Explorer, ОчУОНш, ѕЕЦЮХЅјЗ, МФ±¦Нш 4) Тогда же и появляется папка C:\Program Files\WindowsGameCenter . В ней содержатся файлы bookmarks.dat, dangdangwang.ico, jiuzhou.ico, MiniGame.exe, run.bat, taobao.ico, zhuoyue.ico Причем на иконках некоторых из них китайские символы. 5) Папку можно удалить только закрыв в Диспетчере задач файл Service.exe, тоже появившийся там недавно. Через пару секунд он запускается вновь( Такая беда повторяется каждые 10-30 минут. Помогите пожалуйста решить проблему |
27.01.2010, 18:17 | #3 (ссылка) |
Новичок
Регистрация: 27.01.2010
Сообщений: 45
Репутация: 0
|
Вот ссылка на файл http://webfile.ru/4260049
|
27.01.2010, 18:28 | #4 (ссылка) |
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
Maniakxxl,
Запустите снова avz: Файл-Выполнить скрипт- в открывшееся окно внимательно вставьте текст: Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('rcuyngvm'); DeleteService('masdfeerm'); DeleteFile('c:\windows\conime.exe'); DeleteFile('c:\windows\system32\panp.exe'); DeleteFile('c:\windows\system32\sbdrv.exe'); DeleteFile('c:\windows\services\rc0\service.exe'); DeleteFile('c:\windows\winiogon.exe'); DeleteFile('c:\windows\system32\ctmsunsrv.dll'); DeleteFile('C:\WINDOWS\zAdBho.dll'); DeleteFile('c:\windows\winIogon.exe'); BC_DeleteFile('C:\WINDOWS\system32\drivers\zjptbaagdbw5.sys'); DeleteFile('C:\WINDOWS\system32\Drivers\rcuyngvm.sys'); DeleteFile('C:\WINDOWS\system32\sbdrv.exe'); DeleteFile('c:\windows\wmiprsve.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\rcuyngvm.sys'); DeleteFile('C:\Documents and Settings\NetworkService\tths.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','MSConfig'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','MSConfig'); DeleteFile('C:\WINDOWS\TEMP\tro1264599400.exe'); DeleteFile('C:\WINDOWS\system32\ctmsunsrv.dll'); DeleteFile('C:\WINDOWS\system32\sshnas21.dll'); DeleteFile('C:\WINDOWS\msa.exe'); DeleteFile('C:\DOCUME~1\Max\LOCALS~1\Temp\Bg2.exe'); DeleteFile('C:\Windows\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job'); DeleteFile('C:\Windows\tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job'); DeleteFile('c:\windows\system32\svchost.exe:exe.exe:$DATA'); DelCLSID('{YMS03AB-B707-11d2-9CBD-0000F87A369E}'); DelCLSID('{CA99C4F6-85BD-4B68-ACF4-2699D3870850}'); DelBHO('{CA99C4F6-85BD-4B68-ACF4-2699D3870850}'); ExecuteSysClean; ExecuteRepair(6); ExecuteRepair(13); RebootWindows(true); end. После перезагрузки выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip + лог утилитки hijackthis |
27.01.2010, 18:43 | #5 (ссылка) |
Новичок
Регистрация: 27.01.2010
Сообщений: 45
Репутация: 0
|
Ок щас сделаю
---------- Добавлено в 17:43 ---------- Предыдущее сообщение было написано в 17:33 ---------- Вот лог hijackthis - http://webfile.ru/4260066 virusinfo_syscheck.zip - http://webfile.ru/4260067 Там запущенные процессы MySQL и Java нужны не примите за вирусы) |
27.01.2010, 18:55 | #6 (ссылка) |
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
Maniakxxl,
запустить hijackthis кнопкой "Do a system scan only" Откроется таблица, в которой отметьте следующие строчки: Код:
R3 - URLSearchHook: (no name) - - (no file) F3 - REG:win.ini: load=C:\WINDOWS\services\rc0\service.exe F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe Запустите снова avz: Файл-выполнить скрипт- в открывшееся окно внимательно!!! вставить текст: Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('zjptbaagdbw5'); DeleteFile('c:\windows\services\rc0\service.exe'); DeleteFile('C:\WINDOWS\system32\drivers\zjptbaagdbw5.sys'); DeleteFile('C:\WINDOWS\TEMP\tro1264599400.exe'); DeleteFile('C:\WINDOWS\services\rc0\service.exe'); DeleteFile('C:\WINDOWS\system32\Iasid.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NetSoft'); ExecuteSysClean; ExecuteRepair(6); RebootWindows(true); end. |
27.01.2010, 19:41 | #7 (ссылка) |
Новичок
Регистрация: 27.01.2010
Сообщений: 45
Репутация: 0
|
К сожалению, service.exe не удаляется ( Хотя с запуском виндовс уже это окно не вылазит! Но остался значок на раб. столе Internet Explorer, который невозможно удалить, нельзя посмотреть свойства или что-либо с ним сделать(
Вот архив там лог hijackthis + virusinfo_syscheck.zip - http://webfile.ru/4260081 ---------- Добавлено в 18:41 ---------- Предыдущее сообщение было написано в 18:08 ---------- проблему с файлом Internet Explorer решил |
27.01.2010, 19:50 | #8 (ссылка) |
Эксперт
Регистрация: 08.09.2009
Сообщений: 10,716
Репутация: 960
|
Maniakxxl, Попробуйте в Безопасном режиме скрипт AVZ выполнить:
Код:
begin SetAVZGuardStatus(True); SearchRootkit(true, true); DeleteFile('c:\windows\services\rc0\service.exe'); DeleteFile('C:\WINDOWS\system32\drivers\zjptbaagdbw5.sys'); DeleteFile('C:\Program Files\WindowsGameCenter\MiniGame.exe'); DeleteFile('C:\WINDOWS\Installer\{BEC99D86-1D70-4AB8-8D15-E116392F9B7D}\NewShortcut2_8AD8B45EA8E342398C8023822EDFD6EF.exe'); DeleteFile('C:\WINDOWS\TEMP\tro1264599400.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. |
Ads | |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Кому на РРРРуси жить-то хорошо ??? | Neto-netak | Общение по интересам | 12 | 25.01.2011 11:45 |
Вирус | PhenomenoN | Безопасность | 5 | 01.09.2010 14:38 |
Это вирус? | rifat18 | Безопасность | 1 | 28.08.2010 22:19 |
Вирус (реклама) который утверждает что он не вирус и подавляет все действия | Vado | Безопасность | 3 | 13.06.2010 16:40 |
Сколько жить осталось ХП - философия | ЖекаПК | Windows XP | 5 | 17.05.2010 18:49 |
От кота Леопольда: "Ребята, давайте жить дружно!" | Alla-N | Общение по интересам | 22 | 03.04.2010 13:44 |
Рекламный модуль мешает работе! | mirabel | Безопасность | 4 | 12.03.2010 09:09 |
Как вам такая конфигурация, жить будет?) | Никита95 | Выбор комплектующих | 48 | 05.02.2010 00:26 |
файрволл мешает | bulatt | Безопасность | 3 | 17.11.2009 16:51 |
Вирус... | Пользователь | Безопасность | 7 | 09.11.2009 12:40 |
Вирус? | Raf-4 | Windows Vista | 2 | 06.11.2009 22:29 |
Локальная сеть + adsl интернет мешают друг другу жить | Ferdinand | Windows XP | 24 | 25.02.2008 13:54 |