 |
|
|
19.09.2011, 22:41
|
#1 (ссылка) |
|
Новичок
Регистрация: 19.09.2011
Сообщений: 11
Репутация: 0
|
Вирусы zaberg, addrive32 и др. Помогите избавиться!
При загрузке открывает папку Мои документы, бесконечно идут какие-то не понятные DNS-запросы. Пожалуйста, посмотрите логи: http://zalil.ru/31725950 (avz)
http://zalil.ru/31725965 (HijackThis) |
|
|
20.09.2011, 13:13
|
#3 (ссылка) |
|
Новичок
Регистрация: 19.09.2011
Сообщений: 11
Репутация: 0
|
safety,
Если все сделала правильно, то вот: http://zalil.ru/31728618 |
|
|
|
20.09.2011, 13:24
|
#4 (ссылка) |
|
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
Выполните скрипт в AVZ:
Как выполнить скрипт http://pchelpforum.ru/f26/t24207/ Код:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\aadrive32.exe','');
QuarantineFile('C:\WINDOWS\system32\38.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe','');
QuarantineFile('C:\Documents and Settings\Administrator\Application Data\Wkbcby.exe','');
TerminateProcessByName('c:\documents and settings\administrator\application data\77.tmp');
QuarantineFile('c:\documents and settings\administrator\application data\77.tmp','');
DeleteFile('c:\documents and settings\administrator\application data\77.tmp');
DeleteFile('C:\Documents and Settings\Administrator\Application Data\Wkbcby.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Wkbcby');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','zaber0');
DeleteFile('C:\WINDOWS\system32\38.exe');
DeleteFile('C:\WINDOWS\aadrive32.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
далее выполните скрипт в AVZ: Код:
begin CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end. Файл quarantine.zip из папки AVZ пришлите в почту sendvirus2011@gmail.com |
|
|
|
20.09.2011, 16:47
|
#5 (ссылка) |
|
Новичок
Регистрация: 19.09.2011
Сообщений: 11
Репутация: 0
|
Новый архив http://zalil.ru/31729798
|
|
|
|
20.09.2011, 16:55
|
#7 (ссылка) |
|
Эксперт
|
Перед выполнением скрипта:
Отключите и удалите точки восстановления: Код:
http://support.microsoft.com/kb/310405 - отключение восстановления Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить Выполните скрипт в AVZ Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\aadrive32.exe');
TerminateProcessByName('c:\documents and settings\administrator\application data\9a.tmp');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe,explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe,Explorer.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
QuarantineFile('C:\Documents and Settings\Administrator\Application Data\Wkbcby.exe','');
QuarantineFile('c:\windows\aadrive32.exe','');
QuarantineFile('c:\documents and settings\administrator\application data\9a.tmp','');
DeleteFile('c:\documents and settings\administrator\application data\9a.tmp');
DeleteFile('C:\Documents and Settings\Administrator\Application Data\Wkbcby.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe,explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe,Explorer.exe');
DeleteFile('C:\WINDOWS\aadrive32.exe');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe');
DeleteFile('C:\WINDOWS\system32\11.exe');
DeleteFile('C:\WINDOWS\system32\38.exe');
DeleteFile('C:\WINDOWS\system32\47.exe');
DeleteFile('C:\WINDOWS\system32\52.exe');
DeleteFile('C:\WINDOWS\system32\54.exe');
DeleteFile('C:\WINDOWS\system32\62.exe');
DeleteFile('C:\WINDOWS\system32\70.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Wkbcby');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','zaber0');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKLM','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(8);
ExecuteWizard('TSW',2,3,true);
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.
|
|
|
|
20.09.2011, 18:53
|
#9 (ссылка) |
|
Эксперт
|
ZuzuZay, вроде убили
 сделайте еще вот такой отчет http://pchelpforum.ru/showpost.php?p=206554&postcount=5 |
|
|
|
20.09.2011, 21:29
|
#10 (ссылка) |
|
Новичок
Регистрация: 19.09.2011
Сообщений: 11
Репутация: 0
|
Большое спасибо за помощь!
еще один отчет: http://zalil.ru/31731686
|
|
|
|
21.09.2011, 08:36
|
#12 (ссылка) |
|
Новичок
Регистрация: 19.09.2011
Сообщений: 11
Репутация: 0
|
всё равно опять появляются zaberg, addrive и т.д. Восстановление системы отключено, новый Log :
http://zalil.ru/31733886 |
|
|
|
21.09.2011, 12:27
|
#14 (ссылка) |
|
Новичок
Регистрация: 19.09.2011
Сообщений: 11
Репутация: 0
|
флэшками за эту неделю никто не пользовался, а вот может какие-то настройки аутпоста нужно изменить? Уже удалила все неизвестные мне правила для приложений, позже выложу новый лог. Спасибо за помощь!
---------- Добавлено в 10:27 ---------- Предыдущее сообщение было написано в 08:26 ---------- http://zalil.ru/31734491 |
|
|
|
21.09.2011, 12:40
|
#15 (ссылка) |
|
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
удалите все, перезагрузка,
повторите лог малваребайт ---------- Добавлено в 14:40 ---------- Предыдущее сообщение было написано в 14:39 ---------- + --------- сделайте дополнительно образ автозапуска в uVS обновите утилиту uVS до версии 3.71 http://dsrt.dyndns.org/files/uvs_v371.zip или отсюда, для тек кто дружит с Avast (или GData) http://rghost.ru/20995991 Распаковать архив, запустить файл Start.exe Появится окно программы - нажать "запустить под текущим пользователем". Далее - Меню Файл - Сохранить Полный образ автозапуска. Сохраняем файл, добавляем в архив rar или 7z и заливаем на форум. --------- посмотреть, что у вас за система. |
|
|
| Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы
|
||||
| Тема | Автор | Раздел | Ответов | Последнее сообщение |
| Помогите избавиться от вируса | Saida | Безопасность | 60 | 16.09.2011 10:53 |
| Помогите избавиться от вируса!!! | Aliance | Безопасность | 24 | 14.09.2011 13:18 |
| Помогите избавиться!!!!! | Molly_Fell | Безопасность | 1 | 29.07.2011 12:55 |
| Помогите избавиться от вредителя | Millton | Безопасность | 18 | 21.07.2011 22:46 |
| Вирусы jodrive32, aadrive32 и другие, помогите пожалусто избавиться | Никисс | Безопасность | 58 | 17.07.2011 13:16 |
| Вирусы атакуют, помогите избавиться! | johnyc | Безопасность | 5 | 28.02.2011 20:49 |
| Помогите избавиться от вирусов! | XOMbl4 | Безопасность | 13 | 09.12.2010 09:56 |
| помогите избавиться от вируса | alex_at | Безопасность | 3 | 08.07.2010 02:31 |
| Помогите избавиться от вирусов | Vikulja | Безопасность | 5 | 15.02.2010 18:39 |
| Помогите избавиться... | Telcos | Безопасность | 6 | 14.01.2010 16:40 |
| помогите избавиться от каки | ADevil | Безопасность | 0 | 13.12.2009 18:05 |
