Мои фотки копируются в папку system32

@SweetL · Регистрация: 19.09.2012

Author24 — интернет-сервис помощи студентам

Подцепила какой-то вирус, система тормозит, сейчас еще постоянно на экране сообщение, что мои фотки копируются в папку system 32. Проверяла антивирусом NOD32, CureIT ничего не находит.
Просканировала AVZ стало лучше, но после перезагрузки тоже самое все повторяется. Как будто кто информацию с моего компьютера собирает.
Прикрепляю логи.

S.R · 19.09.2012, 13:39

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________
На время выполнения скриптов/сбора логов отключайте антивирусы и сетевые экраны!

Выполните скрипт в AVZ (меню Файл\Выполнить скрипт):

Код

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'В процессе выполнения скрипта компьютер будет перезагружен.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\system32\winsocks.exe');
 TerminateProcessByName('c:\windows\system32\sеrvdrv.exe');
 TerminateProcessByName('c:\windows\system32\regsrvс.exe');
 TerminateProcessByName('c:\windows\system32\lcass.exe');
  QuarantineFile('C:\WINDOWS\system32\svchost32.exe','');
  QuarantineFile('C:\WINDOWS\tskmgr32.exe','');
  QuarantineFile('C:\WINDOWS\system32\Drivers\removeany.sys','');
  QuarantineFile('C:\DOCUME~1\ADMIN\LOCALS~1\Temp\mc21.tmp','');
  QuarantineFile('c:\windows\system32\winsocks.exe','');
  QuarantineFile('c:\windows\system32\sеrvdrv.exe','');
  QuarantineFile('c:\windows\system32\regsrvс.exe','');
  QuarantineFile('c:\windows\system32\lcass.exe','');
  DeleteFile('C:\WINDOWS\system32\svchost32.exe');
  DeleteFile('C:\WINDOWS\tskmgr32.exe');
  DeleteFile('c:\windows\system32\lcass.exe');
  DeleteFile('c:\windows\system32\regsrvс.exe');
  DeleteFile('c:\windows\system32\sеrvdrv.exe');
  DeleteFile('c:\windows\system32\winsocks.exe');
  DeleteFile('C:\DOCUME~1\ADMIN\LOCALS~1\Temp\mc21.tmp');
 DeleteFile('C:\WINDOWS\system32\lstcmd.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standa rdprofile\authorizedapplications\list', 'C:\WINDOWS\system32\svchost32.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','WindowsLog');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Winsockks');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','WinAPI');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','WindowsSystem');
 RegKeyStrParamWrite('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AutoCreateQuarantine', '"' + GetAVZDirectory + 'avz.exe' + '"' + ' Script=' + '"' + GetAVZDirectory + 'Script.txt' + '"');
 AddLineToTxtFile(GetAVZDirectory + 'Script.txt', 'begin'+#13#10+' CreateQurantineArchive(GetAVZDirectory' + ' + ' + Chr(39) + 'quarantine.zip' + Chr(39) + ');'+#13#10+' RegKeyParamDel('+Chr(39)+'HKEY_CURRENT_USER'+Chr(39) + ', ' +Chr(39)+'Software\Microsoft\Windows\CurrentVersion\Run'+Chr(39)+ ', '+Chr(39)+'AutoCreateQuarantine'+Chr(39)+');'+#13#10+' ExecuteFile('+Chr(39)+'explorer.exe'+Chr(39) + ', ' + 'GetAVZDirectory, 1, 0, false);'+#13#10+' ExitAVZ;'+#13#10+'end.');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Архив quarantine.zip из папки с AVZ отправьте через веб-форму.
Обновите базы AVZ (меню Файл\Обновление баз) и сделайте новые логи AVZ и RSIT.
________________________________________
Скачайте Malwarebytes' Anti-Malware, установите, обновите базы.
Если программа уже установлена - обновите базы.
Выберите Полное сканирование, нажмите Сканирование. Отметьте локальные диски и флешки.
После сканирования откроется лог. Если он не открылся, нажмите Ok - Показать результаты
Сохраните лог и прикрепите к сообщению.
________________________________________
Скачайте SecurityCheck by screen317 на рабочий стол.
Запустите программу, после появления консоли нажмите на любую клавишу для начала сканирования.
Дождитесь завершения сканирования и формирования лога. Скопируйте/вставьте содержимое лога утилиты в следующее сообщение.

@SweetL · 19.09.2012, 17:52 **[ТС]**

Results of screen317's Security Check version 0.99.51
Windows XP Service Pack 3 x86
Internet Explorer 8
``````````````Antivirus/Firewall Check:``````````````

Antivirus up to date!
`````````Anti-malware/Other Utilities Check:`````````
Malwarebytes Anti-Malware, версия 1.65.0.1400
CCleaner
Adobe Flash Player 10 Flash Player out of Date!
Adobe Flash Player 10.3.181.34 Flash Player out of Date!
Adobe Reader 9 Adobe Reader out of Date!
Mozilla Firefox 14.0.1 Firefox out of Date!
Google Chrome 21.0.1180.83
Google Chrome 21.0.1180.89
````````Process Check: objlist.exe by Laurent````````
ESET NOD32 Antivirus egui.exe
ESET NOD32 Antivirus ekrn.exe
Malwarebytes Anti-Malware mbamservice.exe
Malwarebytes Anti-Malware mbamgui.exe
Malwarebytes' Anti-Malware mbamscheduler.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C::
````````````````````End of Log``````````````````````

@shestale · 19.09.2012, 19:39

Обновите Adobe Reader до актуальной версии.

Обновите Adobe Flash Player до актуальной версии.

Обновите Firefox до актуальной версии.

Если МВАМ уже закрыли, то просканируйте заново и удалите эти строки:

C:\Documents and Settings\ADMIN\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.

Проверьте на Virus Total этот файл

Код

E:\Мои документы\Загрузки\Базис\Setup.exe

для этого пройдите по ссылке, выберите scan a file, нажмите в окно для ввода файла, вставьте и нажмите Scan it!, если будет заражен, тогда удалите в МВАМ еще и эти строки:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (Trojan.Banker) -> Действие не было предпринято.
E:\Мои документы\Загрузки\Базис\Setup.exe (Trojan.Banker) -> Действие не было предпринято.

Что с проблемой?

@SweetL · 19.09.2012, 23:01 **[ТС]**

Спасибо большое!!!! Проблема устранена

@~~Katharsis~~ · 19.09.2012, 23:35

Рекомендации после удаления вредоносного ПО

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	19.09.2012, 19:39	4
	Обновите Adobe Reader до актуальной версии. Обновите Adobe Flash Player до актуальной версии. Обновите Firefox до актуальной версии. Если МВАМ уже закрыли, то просканируйте заново и удалите эти строки: C:\Documents and Settings\ADMIN\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято. C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято. Проверьте на Virus Total этот файл Код E:\Мои документы\Загрузки\Базис\Setup.exe для этого пройдите по ссылке, выберите scan a file, нажмите в окно для ввода файла, вставьте и нажмите Scan it!, если будет заражен, тогда удалите в МВАМ еще и эти строки: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (Trojan.Banker) -> Действие не было предпринято. E:\Мои документы\Загрузки\Базис\Setup.exe (Trojan.Banker) -> Действие не было предпринято. Что с проблемой? 0

@SweetL 0 / 0 / 0 Регистрация: 19.09.2012 Сообщений: 3
	19.09.2012, 23:01 [ТС]	5
	Спасибо большое!!!! Проблема устранена 0

@~~Katharsis~~ Заблокирован
	19.09.2012, 23:35	6
	Рекомендации после удаления вредоносного ПО 0