 |
|
|
12.01.2011, 14:19
|
#1 (ссылка) |
|
Новичок
Регистрация: 12.01.2011
Сообщений: 6
Репутация: 0
|
Помогите удалить вирус
Проблема в том что у меня не устанавливается ни один антивирус и не заходит на сайт антивирусов.Через утилиту CureIt обнаруживается вирус Trojan.Ipsof (C:\WINDOWS\system32\drivers\mspikp.sys), который он удаляет. Но после перезагрузки он опять появляется.
Как его удалить, и что сделать чтобы антивирус установился? Вот логи: http://exfile.ru/149575 http://exfile.ru/149577 |
|
|
12.01.2011, 15:08
|
#2 (ссылка) |
|
Новичок
Регистрация: 29.12.2010
Сообщений: 617
Репутация: 37
|
Проверьте на VirusTotal:
Код:
C:\WINDOWS\system32\NeroCheck.exe C:\Program Files\Common Files\Microsoft Shared\DW\DW.EXE D:\ПРГИ\Garena\plugins\UI\safedrv.sys Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('sjhwtc', 4);
StopService('sjhwtc');
SetServiceStart('NdisFileServices32', 4);
StopService('NdisFileServices32');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\7zS5CF3\Setup\ImageZoneExpress\Lang1028.cab','');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\7zS08BA\Setup\ImageZoneExpress\Lang1028.cab','');
QuarantineFile('C:\WINDOWS\system32\03.tmp','');
QuarantineFile('C:\WINDOWS\system32\drivers\mspikp.sys','');
QuarantineFile('C:\WINDOWS\system32\wmdrtc32.dll','');
DeleteFile('C:\WINDOWS\system32\wmdrtc32.dll');
DeleteFile('C:\WINDOWS\system32\drivers\mspikp.sys');
DeleteFile('C:\WINDOWS\system32\03.tmp');
DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\7zS08BA\Setup\ImageZoneExpress\Lang1028.cab');
DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\7zS5CF3\Setup\ImageZoneExpress\Lang1028.cab');
DeleteService('sjhwtc');
DeleteService('NdisFileServices32');
ExecuteRepair(8);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
+ Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в сообщение. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. + Отчет GSI (1 пункт). |
|
|
|
12.01.2011, 15:11
|
#3 (ссылка) |
|
Новичок
Регистрация: 13.11.2010
Сообщений: 151
Репутация: 1
|
Ну у меня точно такая же проблема была - не мог заходить на антивирусные сайты. Вот как я вылечил. Скачайте отсюда http://exfile.ru/149597 файл.
Вот инструкция 1 Отключи антивирус, если он запущен 2 Скачай файл. Сохрани на рабочем столе или в папке Мои документы. 3 Разархивируй. Пароль к архиву – 1234. (4 цифры!) 4 запусти файл Setup.bat. 5 Перезагрузи комп Сообщите о результатах плиз. |
|
|
|
12.01.2011, 18:32
|
#4 (ссылка) |
|
Новичок
Регистрация: 12.01.2011
Сообщений: 6
Репутация: 0
|
Помошник,Malwarebytes' Anti-Malware вот лог
Код:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Версия базы данных: 5506
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512
12.01.2011 17:00:39
mbam-log-2011-01-12 (17-00-39).txt
Тип сканирования: Полное сканирование (C:\|)
Просканированные объекты: 216602
Времени прошло: 37 минут, 24 секунд
Заражённые процессы в памяти: 0
Заражённые модули в памяти: 1
Заражённые ключи в реестре: 0
Заражённые параметры в реестре: 0
Объекты реестра заражены: 1
Заражённые папки: 0
Заражённые файлы: 6
Заражённые процессы в памяти:
(Вредоносных программ не обнаружено)
Заражённые модули в памяти:
c:\WINDOWS\system32\wmdrtc32.dll (Virus.Sality) -> Delete on reboot.
Заражённые ключи в реестре:
(Вредоносных программ не обнаружено)
Заражённые параметры в реестре:
(Вредоносных программ не обнаружено)
Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (PUM.Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
Заражённые папки:
(Вредоносных программ не обнаружено)
Заражённые файлы:
c:\WINDOWS\system32\wmdrtc32.dll (Virus.Sality) -> Delete on reboot.
c:\documents and settings\Admin\application data\microsoft\installer\{45a66726-69bc-466b-a7a4-12fcba4883d7}\hijackthis.exe (PWS.Fignotok) -> Quarantined and deleted successfully.
c:\documents and settings\Admin\рабочий стол\новая папка (5)\ECC 5.2\ECC 5.2\ECC.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
c:\total commander gp lite\SOFT\hide2tray\MHOOK.DLL (Spyware.Passwords) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\vfp8rrus.dll (Malware.Packer.Gen) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\wmdrtc32.dl_ (Virus.Sality) -> Quarantined and deleted successfully.
|
|
|
|
12.01.2011, 19:08
|
#5 (ссылка) |
|
Новичок
Регистрация: 29.12.2010
Сообщений: 617
Репутация: 37
|
Где ссылки с Проверки на VirusTotal и отчета GSI?!
Выполните скрипт: Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\7zS5CF3\Setup\ImageZoneExpress\Lang1028.cab','');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\7zS08BA\Setup\ImageZoneExpress\Lang1028.cab','');
QuarantineFile('C:\WINDOWS\system32\03.tmp','');
SetServiceStart('sjhwtc', 4);
StopService('sjhwtc');
QuarantineFile('C:\WINDOWS\system32\drivers\mspikp.sys','');
QuarantineFile('C:\WINDOWS\system32\wmdrtc32.dll','');
BC_DeleteFile('C:\WINDOWS\system32\wmdrtc32.dll');
BC_DeleteFile('C:\WINDOWS\system32\drivers\mspikp.sys');
BC_DeleteSvc('sjhwtc');
BC_DeleteFile('C:\WINDOWS\system32\03.tmp');
BC_DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\7zS08BA\Setup\ImageZoneExpress\Lang1028.cab');
BC_DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\7zS5CF3\Setup\ImageZoneExpress\Lang1028.cab');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Код:
c:\WINDOWS\system32\vfp8rrus.dll (Malware.Packer.Gen) -> Quarantined and deleted successfully. c:\WINDOWS\system32\wmdrtc32.dll (Virus.Sality) -> Delete on reboot. c:\WINDOWS\system32\wmdrtc32.dl_ (Virus.Sality) -> Quarantined and deleted successfully. c:\total commander gp lite\SOFT\hide2tray\MHOOK.DLL (Spyware.Passwords) -> Quarantined and deleted successfully. Код:
C:\WINDOWS\system32\drivers\pioeq.sys Следуйте инструкциям для удаления вируса Sality с помощью утилиты. |
|
|
|
12.01.2011, 19:11
|
#6 (ссылка) | |
|
Знаток
Регистрация: 13.12.2010
Сообщений: 1,986
Репутация: 152
|
Цитата:
|
|
|
|
|
12.01.2011, 19:36
|
#8 (ссылка) |
|
Новичок
Регистрация: 12.01.2011
Сообщений: 6
Репутация: 0
|
goredey, это же вирусы), но у меня теперь звук не пропадает. А то раньше после того как включишь комп, через 10 минут везде звук пропадал.
Помошник, на VirusTotal не заходит, и на сайт касперского что вы дали тоже |
|
|
| Ads | |
|
12.01.2011, 20:01
|
#11 (ссылка) |
|
Новичок
Регистрация: 12.01.2011
Сообщений: 6
Репутация: 0
|
Помошник, выполнил, вот лог avz4 : http://exfile.ru/149695
|
|
|
|
12.01.2011, 20:21
|
#14 (ссылка) |
|
Новичок
Регистрация: 12.01.2011
Сообщений: 6
Репутация: 0
|
goredey, вот Вам лог http://exfile.ru/149705
|
|
|
|
12.01.2011, 21:51
|
#15 (ссылка) |
|
Мастер
|
smokes13, выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):
Код:
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
SaveLog(GetAVZDirectory + 'BC_ServiceKill1.log');
BC_LogFile(GetAVZDirectory + 'BC_ServiceKill2.log');
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\wmdrtc32.dll','');
DeleteFile('C:\WINDOWS\system32\wmdrtc32.dll');
BC_ImportALL;
BC_ServiceKill('swjcs');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
|
|
|
| Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы
|
||||
| Тема | Автор | Раздел | Ответов | Последнее сообщение |
| Вирус!!!!!!!!!!!! - ПОМОГИТЕ удалить | VITAL1984 | Безопасность | 4 | 15.12.2010 21:51 |
| Помогите удалить вирус | t1tanium | Безопасность | 4 | 22.11.2010 20:08 |
| Помогите удалить вирус!!! | Ящерка | Безопасность | 0 | 03.11.2010 02:52 |
| помогите удалить вирус TR/Crypt.ZPACK | nicola1980 | Безопасность | 2 | 09.08.2010 01:59 |
| Помогите удалить вирус | sg.ml. | Безопасность | 18 | 16.07.2010 00:41 |
| Помогите удалить вирус Antimalware Doctor | kuvani | Безопасность | 6 | 14.05.2010 11:17 |
| Вирус! Помогите удалить. | nonflame | Безопасность | 3 | 28.02.2010 02:13 |
| Помогите удалить вирус | Александр 77 | Безопасность | 6 | 28.12.2009 01:06 |
| Помогите удалить вирус bdffg.exe | andyvandala | Безопасность | 18 | 14.11.2009 20:09 |
| Помогите удалить вирус | NataliT | Безопасность | 18 | 07.11.2009 20:01 |
| Помогите удалить вирус. | beznosa | Безопасность | 6 | 29.07.2009 18:34 |
| помогите пожалуйста срочно удалить вирус | UUU | Безопасность | 1 | 23.02.2009 18:15 |
