Решена Чистка после локера

Тема в разделе "Лечение компьютерных вирусов", создана пользователем aavezel, 9 июл 2010.

Статус темы:
Закрыта.
  1. aavezel
    Оффлайн

    aavezel Активный пользователь

    Сообщения:
    6
    Симпатии:
    4
    Вчера подруга поймала локера (вырожденный Trojan.WinLock.2060). Скачал drweb livecd, тот выкосил зоопарк, но локер так и не умер. Нашел у делокера др.веба код разблокировки, снял локер. Проверил кутитом, он ничего не нашел. Но, на антивирусные сайты я зайти не могу (ни на доктора, ни на каспера).
    Логи прилагаю.
     

    Вложения:

    • info.txt
      Размер файла:
      12,8 КБ
      Просмотров:
      0
    • log.txt
      Размер файла:
      10,8 КБ
      Просмотров:
      3
    • virusinfo_syscure.zip
      Размер файла:
      18,1 КБ
      Просмотров:
      7
    • virusinfo_syscheck.zip
      Размер файла:
      17,5 КБ
      Просмотров:
      2
  2. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.448
    Симпатии:
    13.950
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\windows\system32\sdra64.exe','');
     QuarantineFile('\\?\globalroot\systemroot\system32\0zggrrw.exe','');
     QuarantineFile('\\?\globalroot\systemroot\system32\b89nzw5.exe','');
     QuarantineFile('\\?\globalroot\systemroot\system32\mpek641.exe','');
     QuarantineFile('\\?\globalroot\systemroot\system32\tx7mryo.exe','');
     QuarantineFile('\\?\globalroot\systemroot\system32\vjqgsed.exe','');
     DeleteFile('c:\windows\system32\sdra64.exe');
     DeleteFile('\\?\globalroot\systemroot\system32\0zggrrw.exe');
     DeleteFile('\\?\globalroot\systemroot\system32\b89nzw5.exe');
     DeleteFile('\\?\globalroot\systemroot\system32\mpek641.exe');
     DeleteFile('\\?\globalroot\systemroot\system32\tx7mryo.exe');
     DeleteFile('\\?\globalroot\systemroot\system32\vjqgsed.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.

    Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

    После этого

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    var j:integer; NumStr:string;
    begin
    for j:=0 to 999 do
     begin
        if j=0 then
            NumStr:='CurrentControlSet' else
            if j<10 then
                NumStr:='ControlSet00'+IntToStr(j) else
                if j<100 then
                    NumStr:='ControlSet0'+IntToStr(j) else
                    NumStr:='ControlSet'+IntToStr(j);
     if RegKeyExists('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
      begin
      RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
      RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
      AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
      end;
     if RegKeyExists('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
      begin
      RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
      RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
      AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
      end;
     end;
    SaveLog(GetAVZDirectory + 'fystemRoot.log');
    RebootWindows(false);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Повторите логи и прикрепите лог fystemRoot.log (появится в папке AVZ) к следующему сообщению.
     
    6 пользователям это понравилось.
  3. aavezel
    Оффлайн

    aavezel Активный пользователь

    Сообщения:
    6
    Симпатии:
    4
    Логи
     

    Вложения:

    • virusinfo_syscure.zip
      Размер файла:
      16,3 КБ
      Просмотров:
      6
    • virusinfo_syscheck.zip
      Размер файла:
      16,2 КБ
      Просмотров:
      1
    • info.txt
      Размер файла:
      12,8 КБ
      Просмотров:
      1
    • log.txt
      Размер файла:
      10,8 КБ
      Просмотров:
      4
    • fystemRoot.log
      Размер файла:
      1,5 КБ
      Просмотров:
      4
  4. icotonev
    Оффлайн

    icotonev Ассоциация VN

    Сообщения:
    1.405
    Симпатии:
    1.641
    Добрый вечер!

    Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.
    Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
    временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
    Код (Text):

    :Processes
    explorer.exe

    :Services

    :Files
    C:\WINDOWS\system32\drivers\vdi3otqy.sys

    :Reg

    :Commands
    [purity]
    [emptytemp]
    [start explorer]
    [Reboot]
     
    В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

    Компьютер перезагрузится.

    После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

    Что с проблемами?:)
     
    Последнее редактирование: 9 июл 2010
    4 пользователям это понравилось.
  5. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.448
    Симпатии:
    13.950
    В карантин ничего вредоносного не попало.
     
    2 пользователям это понравилось.
  6. aavezel
    Оффлайн

    aavezel Активный пользователь

    Сообщения:
    6
    Симпатии:
    4
    07102010_013705.log:
    All processes killed
    ========== PROCESSES ==========
    No active process named explorer.exe was found!
    ========== SERVICES/DRIVERS ==========
    ========== FILES ==========
    C:\WINDOWS\system32\drivers\vdi3otqy.sys moved successfully.
    ========== REGISTRY ==========
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: All Users

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 67 bytes

    User: JULIA
    ->Opera cache emptied: 29623137 bytes

    User: LocalService
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes

    User: NetworkService
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 32902 bytes

    User: Ulija
    ->Temp folder emptied: 5457642836 bytes
    ->Temporary Internet Files folder emptied: 20532578 bytes
    ->Google Chrome cache emptied: 196171041 bytes
    ->Opera cache emptied: 239362 bytes
    ->Flash cache emptied: 56836 bytes

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 2339456 bytes
    %systemroot%\System32 .tmp files removed: 5709 bytes
    %systemroot%\System32\dllcache .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 2891894 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 37317 bytes
    RecycleBin emptied: 631274127 bytes

    Total Files Cleaned = 6*047,00 mb


    OTM by OldTimer - Version 3.1.12.0 log created on 07102010_013705

    Files moved on Reboot...

    Registry entries deleted on Reboot...

    Хм... ATF-Cleaner запускал вроде...

    На www.kaspersky.ru заходит без проблем, антивирусник качается. На drweb.com виснет при заходе, на avsoft.ru не заходит. Пинг до drweb есть, до avsoft нет..
    c:\>ping drweb.com

    Обмен пакетами с drweb.com [87.242.72.150] по 32 байт:

    Ответ от 87.242.72.150: число байт=32 время=50мс TTL=56
    Ответ от 87.242.72.150: число байт=32 время=50мс TTL=56
    Ответ от 87.242.72.150: число байт=32 время=50мс TTL=56
    Ответ от 87.242.72.150: число байт=32 время=50мс TTL=56

    Статистика Ping для 87.242.72.150:
    Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь),
    Приблизительное время приема-передачи в мс:
    Минимальное = 50мсек, Максимальное = 50 мсек, Среднее = 50 мсек

    c:\>ping avsoft.ru

    Обмен пакетами с avsoft.ru [90.156.159.153] по 32 байт:

    Превышен интервал ожидания для запроса.
    Превышен интервал ожидания для запроса.
    Превышен интервал ожидания для запроса.
    Превышен интервал ожидания для запроса.

    Статистика Ping для 90.156.159.153:
    Пакетов: отправлено = 4, получено = 0, потеряно = 4 (100% потерь),

    С соседнего компа(linux), ходящего через тот же роут, оба сайта доступны.
     
    Последнее редактирование: 9 июл 2010
    2 пользователям это понравилось.
  7. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.448
    Симпатии:
    13.950
    4 пользователям это понравилось.
  8. aavezel
    Оффлайн

    aavezel Активный пользователь

    Сообщения:
    6
    Симпатии:
    4
    вот
     

    Вложения:

    • hijackthis.log
      Размер файла:
      8,4 КБ
      Просмотров:
      1
    Последнее редактирование: 9 июл 2010
  9. icotonev
    Оффлайн

    icotonev Ассоциация VN

    Сообщения:
    1.405
    Симпатии:
    1.641
    Пофиксить в HijackThis следующие строчки:

    Код (Text):
    R3 - URLSearchHook: (no name) -  - (no file)
    O20 - Winlogon Notify: afesgoax - Invalid registry found
     

    Сейчас?Что с проблемами?:unknw:

    Пожалуйста в OTM нажмите кнопку ''CleanUp'' который удаляется C:\_OTMoveIt\ и все остальное в системных папках от этой программы.


    Установите Internet Explorer 8 (даже если им не пользуетесь)
     
    Последнее редактирование: 10 июл 2010
  10. aavezel
    Оффлайн

    aavezel Активный пользователь

    Сообщения:
    6
    Симпатии:
    4
    Всё как было... :sorry:
    PS При загрузке возникли "странные" проблемы с активизацией и кто-то хотел поменять поиск по умолчанию на qip.search в ie и chrome...
    PSS С qip.search разобрался, при повторной перезагрузке проблем с активацией не возникло...
     
    Последнее редактирование: 10 июл 2010
  11. icotonev
    Оффлайн

    icotonev Ассоциация VN

    Сообщения:
    1.405
    Симпатии:
    1.641
    Я не вижу никаких активных инфекции....!:unknw: Готовить такoй лог:

    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и скопируйте в сообщение.
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
     
    Последнее редактирование: 10 июл 2010
    2 пользователям это понравилось.
  12. aavezel
    Оффлайн

    aavezel Активный пользователь

    Сообщения:
    6
    Симпатии:
    4
    Всё проблема пропала... :yess:
     

    Вложения:

    2 пользователям это понравилось.
Статус темы:
Закрыта.

Поделиться этой страницей