Решена autorun, ispodkrila и др.

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Нафанька, 3 дек 2010.

Статус темы:
Закрыта.
  1. Нафанька
    Оффлайн

    Нафанька Активный пользователь

    Сообщения:
    7
    Симпатии:
    0
    Здравствуйте. Посмотрите пожалуйста логи. Компьютер с работы. На флешке прячет или удаляет папки.

    Прошу помощи.
     

    Вложения:

  2. gjf
    Оффлайн

    gjf Ассоциация VN Разработчик

    Сообщения:
    639
    Симпатии:
    823
    - Вставьте все заражённые флешки, но не открывайте их в Проводнике, пока Вам не будет это разрешено.
    - Закройте/выгрузите все программы кроме Internet Explorer.
    Отключите
    - ПК от интернета/локальной сети.
    - Антивирус и Файрвол.
    - Выполните скрипт:

    Код (Text):
    Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
    var
    i : integer;
    KeyList : TStringList;
    KeyName : string;                          
    begin
    RegKeyResetSecurity(ARoot, AName);
    KeyList := TStringList.Create;
    RegKeyEnumKey(ARoot, AName, KeyList);
    for i := 0 to KeyList.Count-1 do
    begin
    KeyName := AName+'\'+KeyList[i];
    RegKeyResetSecurity(ARoot, KeyName);
    RegKeyResetSecurityEx(ARoot, KeyName);
    end;
    KeyList.Free;
    end;
    Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
    var
    i : integer;
    KeyList : TStringList;
    KeyName : string;                          
    begin
    Result := 0;
    if StopService(AServiceName) then Result := Result or 1;
    if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
    KeyList := TStringList.Create;
    RegKeyEnumKey('HKLM','SYSTEM', KeyList);
    for i := 0 to KeyList.Count-1 do
     if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
      KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;                                    
      if RegKeyExistsEx('HKLM', KeyName) then begin
       Result := Result or 4;                  
       RegKeyResetSecurityEx('HKLM', KeyName);
       RegKeyDel('HKLM', KeyName);
       if RegKeyExistsEx('HKLM', KeyName) then              
        Result := Result or 8;                  
      end;
     end;                
    if AIsSvcHosted then
     BC_DeleteSvcReg(AServiceName)
    else
     BC_DeleteSvc(AServiceName);
    KeyList.Free;
    end;

    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
    AddToLog('Удаление скрытого сервиса '+'test1'+' - Результат:'+inttostr(BC_ServiceKill('iy2tzoaad7')) );
    QuarantineFile('G:\autorun.inf','');
    QuarantineFile('D:\WINDOWS\system32\XP-985DF994.EXE','');
    QuarantineFile('D:\Documents and Settings\Admin.POPION-5E092D.003\yeawl.exe','');
    QuarantineFile('D:\WINDOWS\system32\Drivers\atusb.sys','');
    QuarantineFile('D:\WINDOWS\system32\drivers\windrvr6.sys','');
    QuarantineFile('D:\WINDOWS\System32\drivers\inkjet.SYS','');
    QuarantineFile('D:\WINDOWS\system32\wewuwug.exe','');
    QuarantineFile('d:\:services.exe','');
    DeleteFile('d:\:services.exe');
    DeleteFile('D:\WINDOWS\system32\wewuwug.exe');
    DeleteFile('D:\Documents and Settings\Admin.POPION-5E092D.003\yeawl.exe');
    DeleteFile('G:\autorun.inf');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); {удаление нестандартного диспетчера задач}
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteRepair(11); {разблокировка диспетчера задач}
    ExecuteRepair(16); {восстановление ключа запуска explorer}
    SaveLog(GetAVZDirectory+'avz_log.txt');
    SetAVZPMStatus(true);
    BC_Activate;
    RebootWindows(true);
    end.
    Система перезагрузится. После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи согласно только пункта 2 (Диагностика)
    - Включите Антивирус и Файрвол
    - Подключите ПК к интернету/локальной сети
    - Выполните скрипт:
    Код (Text):

    var
      qfolder: string;
      qname: string;
    begin
      qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';
      qfolder := ExtractFilePath(qname);
      if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);
      CreateQurantineArchive(qname);
      ExecuteFile('explorer.exe', qfolder, 1, 0, false);
    end.
     
    По окончанию Вам откроет папку с архивом. Это - карантин.
    - Карантин загрузите по этой форме. При заполнении формы укажите свой e-mail, на него должен будет потом прийти отчёт о карантине. Его сообщите здесь.
    - Прикрепите новые логи, а также файл avz_log.txt из папки AVZ (если таковой имеется) к новому сообщению в этой ветке.
     
    2 пользователям это понравилось.
  3. Нафанька
    Оффлайн

    Нафанька Активный пользователь

    Сообщения:
    7
    Симпатии:
    0
    всё выполнила... карантин не смогла отправить (ссылка не та):blush:

    логи ниже. autorun, ispodkrila появляются и сейчас на флешке, но папки уже не пропадают.:victory:
     

    Вложения:

  4. gjf
    Оффлайн

    gjf Ассоциация VN Разработчик

    Сообщения:
    639
    Симпатии:
    823
    - Выполните скрипт:
    Код (Text):
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('D:\Documents and Settings\Admin.POPION-5E092D.003\yeawl.exe');
     TerminateProcessByName('G:\ispodkrila\beloggrada.exe');
     DeleteFile('beloggrada.exe');
     DeleteFile('D:\Documents and Settings\Admin.POPION-5E092D.003\yeawl.exe');
     DeleteFile('G:\ispodkrila\beloggrada.exe');
     DeleteFile('G:\autorun.inf');
     DeleteFile('c:\ispodkrila\beloggrada.exe');
     DeleteFile('c:\autorun.inf');
     DeleteFile('d:\ispodkrila\beloggrada.exe');
     DeleteFile('d:\autorun.inf');
     DeleteFile('e:\ispodkrila\beloggrada.exe');
     DeleteFile('e:\autorun.inf');
     DeleteFile('f:\ispodkrila\beloggrada.exe');
     DeleteFile('f:\autorun.inf');
     DeleteFileMask('G:\ispodkrila\','*.*',true);
     DeleteDirectory('G:\ispodkrila\');
     DeleteFileMask('c:\ispodkrila\','*.*',true);
     DeleteDirectory('c:\ispodkrila\');
     DeleteFileMask('d:\ispodkrila\','*.*',true);
     DeleteDirectory('d:\ispodkrila\');
     DeleteFileMask('e:\ispodkrila\','*.*',true);
     DeleteDirectory('e:\ispodkrila\');
     DeleteFileMask('f:\ispodkrila\','*.*',true);
     DeleteDirectory('f:\ispodkrila\');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); {удаление нестандартного диспетчера задач}
     DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
     DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
     BC_ImportAll;
    ExecuteSysClean;
     SetAVZPMStatus(false);
     BC_Activate;
     RebootWindows(true);
    end.
    Система перезагрузится. После перезагрузки:
    - Сделайте повторные логи согласно только пункта Диагностика
    virusinfo_syscheck.zip

    Ссылка у меня отлично открывается: http://support.kaspersky.ru/virlab/helpdesk.html
     
    4 пользователям это понравилось.
  5. Нафанька
    Оффлайн

    Нафанька Активный пользователь

    Сообщения:
    7
    Симпатии:
    0
    выполнила.
     

    Вложения:

  6. akok
    Онлайн

    akok Команда форума Администратор

    Сообщения:
    12.453
    Симпатии:
    13.952
    В карантине:
    yeawl.exe - Trojan.Win32.Pincav.alwk

    Добавлено через 9 минут 26 секунд
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('D:\WINDOWS\system32\XP-985DF994.EXE','');
     DeleteFile('D:\WINDOWS\system32\XP-985DF994.EXE');
     BC_ImportALL;
     ExecuteSysClean;
     BC_DeleteFile('D:\Documents and Settings\Admin.POPION-5E092D.003\yeawl.exe');
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.

    Полученный архив отправьте при помощи этой формы

    Повторите логи.
     
    2 пользователям это понравилось.
  7. Нафанька
    Оффлайн

    Нафанька Активный пользователь

    Сообщения:
    7
    Симпатии:
    0
    выполнила
     

    Вложения:

  8. akok
    Онлайн

    akok Команда форума Администратор

    Сообщения:
    12.453
    Симпатии:
    13.952
    Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.
    Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
    временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
    Код (Text):

    :Processes
    explorer.exe

    :Services

    :Files
    D:\Documents and Settings\Admin.POPION-5E092D.003\yeawl.exe
    :Reg

    :Commands
    [purity]
    [emptytemp]
    [start explorer]
    [Reboot]
     
    В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

    Компьютер перезагрузится.

    После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
     
  9. Нафанька
    Оффлайн

    Нафанька Активный пользователь

    Сообщения:
    7
    Симпатии:
    0
    выполнила
     

    Вложения:

  10. akok
    Онлайн

    akok Команда форума Администратор

    Сообщения:
    12.453
    Симпатии:
    13.952
    Что с проблемами?
     
Статус темы:
Закрыта.

Поделиться этой страницей