Мои фотки копируются в папку system32

@SweetL · Регистрация: 19.09.2012

Студворк — интернет-сервис помощи студентам

Подцепила какой-то вирус, система тормозит, сейчас еще постоянно на экране сообщение, что мои фотки копируются в папку system 32. Проверяла антивирусом NOD32, CureIT ничего не находит.
Просканировала AVZ стало лучше, но после перезагрузки тоже самое все повторяется. Как будто кто информацию с моего компьютера собирает.
Прикрепляю логи.

S.R · 19.09.2012, 13:39

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________
На время выполнения скриптов/сбора логов отключайте антивирусы и сетевые экраны!

Выполните скрипт в AVZ (меню Файл\Выполнить скрипт):

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'В процессе выполнения скрипта компьютер будет перезагружен.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\system32\winsocks.exe');
 TerminateProcessByName('c:\windows\system32\sеrvdrv.exe');
 TerminateProcessByName('c:\windows\system32\regsrvс.exe');
 TerminateProcessByName('c:\windows\system32\lcass.exe');
  QuarantineFile('C:\WINDOWS\system32\svchost32.exe','');
  QuarantineFile('C:\WINDOWS\tskmgr32.exe','');
  QuarantineFile('C:\WINDOWS\system32\Drivers\removeany.sys','');
  QuarantineFile('C:\DOCUME~1\ADMIN\LOCALS~1\Temp\mc21.tmp','');
  QuarantineFile('c:\windows\system32\winsocks.exe','');
  QuarantineFile('c:\windows\system32\sеrvdrv.exe','');
  QuarantineFile('c:\windows\system32\regsrvс.exe','');
  QuarantineFile('c:\windows\system32\lcass.exe','');
  DeleteFile('C:\WINDOWS\system32\svchost32.exe');
  DeleteFile('C:\WINDOWS\tskmgr32.exe');
  DeleteFile('c:\windows\system32\lcass.exe');
  DeleteFile('c:\windows\system32\regsrvс.exe');
  DeleteFile('c:\windows\system32\sеrvdrv.exe');
  DeleteFile('c:\windows\system32\winsocks.exe');
  DeleteFile('C:\DOCUME~1\ADMIN\LOCALS~1\Temp\mc21.tmp');
 DeleteFile('C:\WINDOWS\system32\lstcmd.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standa rdprofile\authorizedapplications\list', 'C:\WINDOWS\system32\svchost32.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','WindowsLog');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Winsockks');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','WinAPI');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','WindowsSystem');
 RegKeyStrParamWrite('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AutoCreateQuarantine', '"' + GetAVZDirectory + 'avz.exe' + '"' + ' Script=' + '"' + GetAVZDirectory + 'Script.txt' + '"');
 AddLineToTxtFile(GetAVZDirectory + 'Script.txt', 'begin'+#13#10+' CreateQurantineArchive(GetAVZDirectory' + ' + ' + Chr(39) + 'quarantine.zip' + Chr(39) + ');'+#13#10+' RegKeyParamDel('+Chr(39)+'HKEY_CURRENT_USER'+Chr(39) + ', ' +Chr(39)+'Software\Microsoft\Windows\CurrentVersion\Run'+Chr(39)+ ', '+Chr(39)+'AutoCreateQuarantine'+Chr(39)+');'+#13#10+' ExecuteFile('+Chr(39)+'explorer.exe'+Chr(39) + ', ' + 'GetAVZDirectory, 1, 0, false);'+#13#10+' ExitAVZ;'+#13#10+'end.');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Архив quarantine.zip из папки с AVZ отправьте через веб-форму.
Обновите базы AVZ (меню Файл\Обновление баз) и сделайте новые логи AVZ и RSIT.
________________________________________
Скачайте Malwarebytes' Anti-Malware, установите, обновите базы.
Если программа уже установлена - обновите базы.
Выберите Полное сканирование, нажмите Сканирование. Отметьте локальные диски и флешки.
После сканирования откроется лог. Если он не открылся, нажмите Ok - Показать результаты
Сохраните лог и прикрепите к сообщению.
________________________________________
Скачайте SecurityCheck by screen317 на рабочий стол.
Запустите программу, после появления консоли нажмите на любую клавишу для начала сканирования.
Дождитесь завершения сканирования и формирования лога. Скопируйте/вставьте содержимое лога утилиты в следующее сообщение.

@SweetL · 19.09.2012, 17:52 **[ТС]**

Results of screen317's Security Check version 0.99.51
Windows XP Service Pack 3 x86
Internet Explorer 8
``````````````Antivirus/Firewall Check:``````````````

Antivirus up to date!
`````````Anti-malware/Other Utilities Check:`````````
Malwarebytes Anti-Malware, версия 1.65.0.1400
CCleaner
Adobe Flash Player 10 Flash Player out of Date!
Adobe Flash Player 10.3.181.34 Flash Player out of Date!
Adobe Reader 9 Adobe Reader out of Date!
Mozilla Firefox 14.0.1 Firefox out of Date!
Google Chrome 21.0.1180.83
Google Chrome 21.0.1180.89
````````Process Check: objlist.exe by Laurent````````
ESET NOD32 Antivirus egui.exe
ESET NOD32 Antivirus ekrn.exe
Malwarebytes Anti-Malware mbamservice.exe
Malwarebytes Anti-Malware mbamgui.exe
Malwarebytes' Anti-Malware mbamscheduler.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C::
````````````````````End of Log``````````````````````

@shestale · 19.09.2012, 19:39

Обновите Adobe Reader до актуальной версии.

Обновите Adobe Flash Player до актуальной версии.

Обновите Firefox до актуальной версии.

Если МВАМ уже закрыли, то просканируйте заново и удалите эти строки:

C:\Documents and Settings\ADMIN\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.

Проверьте на Virus Total этот файл

Code
1
E:\Мои документы\Загрузки\Базис\Setup.exe

для этого пройдите по ссылке, выберите scan a file, нажмите в окно для ввода файла, вставьте и нажмите Scan it!, если будет заражен, тогда удалите в МВАМ еще и эти строки:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (Trojan.Banker) -> Действие не было предпринято.
E:\Мои документы\Загрузки\Базис\Setup.exe (Trojan.Banker) -> Действие не было предпринято.

Что с проблемой?

@SweetL · 19.09.2012, 23:01 **[ТС]**

Спасибо большое!!!! Проблема устранена

@Katharsis · 19.09.2012, 23:35

Рекомендации после удаления вредоносного ПО

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Реализация движения на Box2D v3 - трение и коллизии с повёрнутыми стенами 8Observer8 20.02.2026 Содержание блога Box2D позволяет легко создать главного героя, который не проходит сквозь стены и перемещается с заданным трением о препятствия, которые можно располагать под углом, как верхнее. . .	Конвертировать закладки radiotray-ng в m3u-плейлист damix 19.02.2026 Это можно сделать скриптом для PowerShell. Использование . \СonvertRadiotrayToM3U. ps1 <path_to_bookmarks. json> Рядом с файлом bookmarks. json появится файл bookmarks. m3u с результатом. # Check if. . .	Семь CDC на одном интерфейсе: 5 U[S]ARTов, 1 CAN и 1 SSI Eddy_Em 18.02.2026 Постепенно допиливаю свою "многоинтерфейсную плату". Выглядит вот так: https:/ / www. cyberforum. ru/ blog_attachment. php?attachmentid=11617&stc=1&d=1771445347 Основана на STM32F303RBT6. На борту пять. . .	Камера Toupcam IUA500KMA Eddy_Em 12.02.2026 Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .
И ясному Солнцу zbw 12.02.2026 И ясному Солнцу, и светлой Луне. В мире покоя нет и люди не могут жить в тишине. А жить им немного лет.	«Знание-Сила» zbw 12.02.2026 «Знание-Сила» «Время-Деньги» «Деньги -Пуля»	SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .

@SweetL 0 / 0 / 0 Регистрация: 19.09.2012 Сообщений: 3
	19.09.2012, 23:01 [ТС]
	Спасибо большое!!!! Проблема устранена 0

@Katharsis 8571 / 4877 / 66 Регистрация: 16.09.2010 Сообщений: 14,446
	19.09.2012, 23:35
	Рекомендации после удаления вредоносного ПО 0