12.01.2011, 14:19 | #1 (ссылка) |
Новичок
Регистрация: 12.01.2011
Сообщений: 6
Репутация: 0
|
Помогите удалить вирус
Проблема в том что у меня не устанавливается ни один антивирус и не заходит на сайт антивирусов.Через утилиту CureIt обнаруживается вирус Trojan.Ipsof (C:\WINDOWS\system32\drivers\mspikp.sys), который он удаляет. Но после перезагрузки он опять появляется.
Как его удалить, и что сделать чтобы антивирус установился? Вот логи: http://exfile.ru/149575 http://exfile.ru/149577 |
12.01.2011, 15:08 | #2 (ссылка) |
Новичок
Регистрация: 29.12.2010
Сообщений: 617
Репутация: 37
|
Проверьте на VirusTotal:
Код:
C:\WINDOWS\system32\NeroCheck.exe C:\Program Files\Common Files\Microsoft Shared\DW\DW.EXE D:\ПРГИ\Garena\plugins\UI\safedrv.sys Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); SetServiceStart('sjhwtc', 4); StopService('sjhwtc'); SetServiceStart('NdisFileServices32', 4); StopService('NdisFileServices32'); QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\7zS5CF3\Setup\ImageZoneExpress\Lang1028.cab',''); QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\7zS08BA\Setup\ImageZoneExpress\Lang1028.cab',''); QuarantineFile('C:\WINDOWS\system32\03.tmp',''); QuarantineFile('C:\WINDOWS\system32\drivers\mspikp.sys',''); QuarantineFile('C:\WINDOWS\system32\wmdrtc32.dll',''); DeleteFile('C:\WINDOWS\system32\wmdrtc32.dll'); DeleteFile('C:\WINDOWS\system32\drivers\mspikp.sys'); DeleteFile('C:\WINDOWS\system32\03.tmp'); DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\7zS08BA\Setup\ImageZoneExpress\Lang1028.cab'); DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\7zS5CF3\Setup\ImageZoneExpress\Lang1028.cab'); DeleteService('sjhwtc'); DeleteService('NdisFileServices32'); ExecuteRepair(8); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. + Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в сообщение. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. + Отчет GSI (1 пункт). |
12.01.2011, 15:11 | #3 (ссылка) |
Новичок
Регистрация: 13.11.2010
Сообщений: 151
Репутация: 1
|
Ну у меня точно такая же проблема была - не мог заходить на антивирусные сайты. Вот как я вылечил. Скачайте отсюда http://exfile.ru/149597 файл.
Вот инструкция 1 Отключи антивирус, если он запущен 2 Скачай файл. Сохрани на рабочем столе или в папке Мои документы. 3 Разархивируй. Пароль к архиву – 1234. (4 цифры!) 4 запусти файл Setup.bat. 5 Перезагрузи комп Сообщите о результатах плиз. |
12.01.2011, 18:32 | #4 (ссылка) |
Новичок
Регистрация: 12.01.2011
Сообщений: 6
Репутация: 0
|
Помошник,Malwarebytes' Anti-Malware вот лог
Код:
Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Версия базы данных: 5506 Windows 5.1.2600 Service Pack 3 Internet Explorer 6.0.2900.5512 12.01.2011 17:00:39 mbam-log-2011-01-12 (17-00-39).txt Тип сканирования: Полное сканирование (C:\|) Просканированные объекты: 216602 Времени прошло: 37 минут, 24 секунд Заражённые процессы в памяти: 0 Заражённые модули в памяти: 1 Заражённые ключи в реестре: 0 Заражённые параметры в реестре: 0 Объекты реестра заражены: 1 Заражённые папки: 0 Заражённые файлы: 6 Заражённые процессы в памяти: (Вредоносных программ не обнаружено) Заражённые модули в памяти: c:\WINDOWS\system32\wmdrtc32.dll (Virus.Sality) -> Delete on reboot. Заражённые ключи в реестре: (Вредоносных программ не обнаружено) Заражённые параметры в реестре: (Вредоносных программ не обнаружено) Объекты реестра заражены: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (PUM.Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. Заражённые папки: (Вредоносных программ не обнаружено) Заражённые файлы: c:\WINDOWS\system32\wmdrtc32.dll (Virus.Sality) -> Delete on reboot. c:\documents and settings\Admin\application data\microsoft\installer\{45a66726-69bc-466b-a7a4-12fcba4883d7}\hijackthis.exe (PWS.Fignotok) -> Quarantined and deleted successfully. c:\documents and settings\Admin\рабочий стол\новая папка (5)\ECC 5.2\ECC 5.2\ECC.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully. c:\total commander gp lite\SOFT\hide2tray\MHOOK.DLL (Spyware.Passwords) -> Quarantined and deleted successfully. c:\WINDOWS\system32\vfp8rrus.dll (Malware.Packer.Gen) -> Quarantined and deleted successfully. c:\WINDOWS\system32\wmdrtc32.dl_ (Virus.Sality) -> Quarantined and deleted successfully. |
12.01.2011, 19:08 | #5 (ссылка) |
Новичок
Регистрация: 29.12.2010
Сообщений: 617
Репутация: 37
|
Где ссылки с Проверки на VirusTotal и отчета GSI?!
Выполните скрипт: Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\7zS5CF3\Setup\ImageZoneExpress\Lang1028.cab',''); QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\7zS08BA\Setup\ImageZoneExpress\Lang1028.cab',''); QuarantineFile('C:\WINDOWS\system32\03.tmp',''); SetServiceStart('sjhwtc', 4); StopService('sjhwtc'); QuarantineFile('C:\WINDOWS\system32\drivers\mspikp.sys',''); QuarantineFile('C:\WINDOWS\system32\wmdrtc32.dll',''); BC_DeleteFile('C:\WINDOWS\system32\wmdrtc32.dll'); BC_DeleteFile('C:\WINDOWS\system32\drivers\mspikp.sys'); BC_DeleteSvc('sjhwtc'); BC_DeleteFile('C:\WINDOWS\system32\03.tmp'); BC_DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\7zS08BA\Setup\ImageZoneExpress\Lang1028.cab'); BC_DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\7zS5CF3\Setup\ImageZoneExpress\Lang1028.cab'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Код:
c:\WINDOWS\system32\vfp8rrus.dll (Malware.Packer.Gen) -> Quarantined and deleted successfully. c:\WINDOWS\system32\wmdrtc32.dll (Virus.Sality) -> Delete on reboot. c:\WINDOWS\system32\wmdrtc32.dl_ (Virus.Sality) -> Quarantined and deleted successfully. c:\total commander gp lite\SOFT\hide2tray\MHOOK.DLL (Spyware.Passwords) -> Quarantined and deleted successfully. Код:
C:\WINDOWS\system32\drivers\pioeq.sys Следуйте инструкциям для удаления вируса Sality с помощью утилиты. |
12.01.2011, 19:11 | #6 (ссылка) | |
Знаток
Регистрация: 13.12.2010
Сообщений: 1,986
Репутация: 152
|
Цитата:
|
|
12.01.2011, 19:36 | #8 (ссылка) |
Новичок
Регистрация: 12.01.2011
Сообщений: 6
Репутация: 0
|
goredey, это же вирусы), но у меня теперь звук не пропадает. А то раньше после того как включишь комп, через 10 минут везде звук пропадал.
Помошник, на VirusTotal не заходит, и на сайт касперского что вы дали тоже |
Ads | |
12.01.2011, 20:01 | #11 (ссылка) |
Новичок
Регистрация: 12.01.2011
Сообщений: 6
Репутация: 0
|
Помошник, выполнил, вот лог avz4 : http://exfile.ru/149695
|
12.01.2011, 20:21 | #14 (ссылка) |
Новичок
Регистрация: 12.01.2011
Сообщений: 6
Репутация: 0
|
goredey, вот Вам лог http://exfile.ru/149705
|
12.01.2011, 21:51 | #15 (ссылка) |
Мастер
|
smokes13, выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):
Код:
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean; var i : integer; KeyList : TStringList; KeyName : string; begin RegKeyResetSecurity(ARoot, AName); KeyList := TStringList.Create; RegKeyEnumKey(ARoot, AName, KeyList); for i := 0 to KeyList.Count-1 do begin KeyName := AName+'\'+KeyList[i]; RegKeyResetSecurity(ARoot, KeyName); RegKeyResetSecurityEx(ARoot, KeyName); end; KeyList.Free; end; Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte; var i : integer; KeyList : TStringList; KeyName : string; begin Result := 0; if StopService(AServiceName) then Result := Result or 1; if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2; KeyList := TStringList.Create; RegKeyEnumKey('HKLM','SYSTEM', KeyList); for i := 0 to KeyList.Count-1 do if pos('controlset', LowerCase(KeyList[i])) > 0 then begin KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName; if RegKeyExistsEx('HKLM', KeyName) then begin Result := Result or 4; RegKeyResetSecurityEx('HKLM', KeyName); RegKeyDel('HKLM', KeyName); if RegKeyExistsEx('HKLM', KeyName) then Result := Result or 8; end; end; if AIsSvcHosted then BC_DeleteSvcReg(AServiceName) else BC_DeleteSvc(AServiceName); KeyList.Free; SaveLog(GetAVZDirectory + 'BC_ServiceKill1.log'); BC_LogFile(GetAVZDirectory + 'BC_ServiceKill2.log'); end; begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\wmdrtc32.dll',''); DeleteFile('C:\WINDOWS\system32\wmdrtc32.dll'); BC_ImportALL; BC_ServiceKill('swjcs'); ExecuteSysClean; BC_Activate; RebootWindows(true); end. |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Вирус!!!!!!!!!!!! - ПОМОГИТЕ удалить | VITAL1984 | Безопасность | 4 | 15.12.2010 21:51 |
Помогите удалить вирус | t1tanium | Безопасность | 4 | 22.11.2010 20:08 |
Помогите удалить вирус!!! | Ящерка | Безопасность | 0 | 03.11.2010 02:52 |
помогите удалить вирус TR/Crypt.ZPACK | nicola1980 | Безопасность | 2 | 09.08.2010 01:59 |
Помогите удалить вирус | sg.ml. | Безопасность | 18 | 16.07.2010 00:41 |
Помогите удалить вирус Antimalware Doctor | kuvani | Безопасность | 6 | 14.05.2010 11:17 |
Вирус! Помогите удалить. | nonflame | Безопасность | 3 | 28.02.2010 02:13 |
Помогите удалить вирус | Александр 77 | Безопасность | 6 | 28.12.2009 01:06 |
Помогите удалить вирус bdffg.exe | andyvandala | Безопасность | 18 | 14.11.2009 20:09 |
Помогите удалить вирус | NataliT | Безопасность | 18 | 07.11.2009 20:01 |
Помогите удалить вирус. | beznosa | Безопасность | 6 | 29.07.2009 18:34 |
помогите пожалуйста срочно удалить вирус | UUU | Безопасность | 1 | 23.02.2009 18:15 |