Решена Интернетом надуло...

Тема в разделе "Лечение компьютерных вирусов", создана пользователем StarkOFF, 1 ноя 2009.

Статус темы:
Закрыта.
  1. StarkOFF
    Оффлайн

    StarkOFF Активный пользователь

    Сообщения:
    17
    Симпатии:
    0
    Здравствуйте всем!

    Маленькое предисловие...
    Недавно, гуляя в сити мне посчастливилось поймать "замечательный вирус" NESHTA.A
    Вчера и сегодня с утра я пытался его искоренить и Куреитом, и Каспером, Нодом... помоему получилось... но что то у меня есть самнения!Все как у вас на форуме написано!
    в данный момент 15.55 МСК проверяю все Курейтом и пока (тьфу-тьфу-тьфу) ничего не нашел!
    Кстати мне стало даж интересно, вот тут на форуме в одной теме по борьбе с Нешта написано "записать болванку с Курейтом на ЧИСТОМ компьютере" а я сканировал все со своего "зараженного"...
    вот такие непонятки.

    Вот, прошу совета у вас опытные юзеры что делать!?спасть спокойно или опять сканить систему!?


    Заранее спасибо за ответы!
     
  2. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    StarkOFF, еще лог AVZ необходим.
     
  3. StarkOFF
    Оффлайн

    StarkOFF Активный пользователь

    Сообщения:
    17
    Симпатии:
    0
    akoK, а просканировать все диски и потом лог сюда добавить или как!?

    вот добавил фаил который создался как я установил программу и запустил проверку!
     
    Последнее редактирование: 1 ноя 2009
  4. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Немного не тот лог.

    В папке AVZ есть папка Log, а вот в этой папке есть virusinfo_syscure.zip, virusinfo_syscheck.zip их то и нужно приложить к сообщению :).

    Добавлено через 33 секунды
    P>S> Живности еще много в системе.
     
  5. StarkOFF
    Оффлайн

    StarkOFF Активный пользователь

    Сообщения:
    17
    Симпатии:
    0
    Ой а где эта папка!? а то я архив разархивировал а там папка токо base!?
     
  6. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    StarkOFF, появится после выполнения скриптов. Ладно сделаем так.

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
     ExecuteStdScr(3);
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Нажать кнопку "Запустить".
    Код (Text):
    begin
     ExecuteStdScr(2);
     RebootWindows(true);
    end.
    После этого появится папка Log с нужными файлами.
    P>S> Надеюсь AVZ не из архива запускаете?
     
    2 пользователям это понравилось.
  7. StarkOFF
    Оффлайн

    StarkOFF Активный пользователь

    Сообщения:
    17
    Симпатии:
    0
    а в этих Log"ах нет никакой личной информации (пароли, логины и тп)!?
     
  8. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    StarkOFF, никакой личной информации не передается. Тем более из этой ветки скачивать вложения могут только ограниченное количество людей.
     
  9. StarkOFF
    Оффлайн

    StarkOFF Активный пользователь

    Сообщения:
    17
    Симпатии:
    0
    Вот файлики которые надо было=)

    если что то еще надо будет пиши!
     
  10. iskander-k
    Оффлайн

    iskander-k Команда форума Супер-Модератор Ассоциация VN/VIP Преподаватель

    Сообщения:
    3.733
    Симпатии:
    3.260
    Наверное там имелось ввиду записать LiveCD . И с него проверить.

    Добавлено через 29 минут 32 секунды
    1. Отключите интернет и локальную сеть если таковая имеется.
    2. Очистите временные файлы.
      Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner.
      • Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
      • Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
      • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
      • Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
      • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
    3. Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих.
      • Создание новой точки восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
      • Очистка всех предыдущих точек восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Очистка диска, выберите системный диск, на вкладке Дополнительно > Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.

    * Подробнее можно прочитать в этой теме.

    • Сохраните реестр:
    Скачайте ERUNT, установите и запустите, выберите папку для сохранения, в разделе Backup options должны быть отмечены галочками строчки "System registry" , "Current user registry" и "Other open user registries", нажмите "Ok" и подтвердите создание папки.

    Скрипт AVZ.
    Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
    Код (Text):

    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
      SetServiceStart('FXDrv32', 4);
     StopService('FXDrv32');
    QuarantineFile('C:\WINDOWS\mslsrv32.exe','');
     QuarantineFile('F:\FXDrv32.sys','');
     QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
     QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\dc86471937\tf42nXP.exe','');
     DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
     DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\dc86471937\tf42nXP.exe');
     DeleteFile('F:\FXDrv32.sys');
     DeleteFile('C:\WINDOWS\mslsrv32.exe');
     DeleteService('FXDrv32');
     BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
    BC_DeleteFile('C:\WINDOWS\mslsrv32.exe');
    BC_Activate;
    RebootWindows(true);
    end.

     
    После всех процедур выполните скрипт
    Код (Text):

    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
     
    В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме.

    HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis
    Код (Text):

    O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\mslsrv32.exe
    O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\mslsrv32.exe
     
    Сделайте новые логи.


    P.S Это сообщение касается только записей , начинающихся с O23



    Для того чтобы пофиксить строку начинающуюся с O23 надо:
    Код (Text):
    O23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe
    1. Запустить HijackThis.
    2. Нажать кнопку Open The Misc Tools section
    3. Нажать кнопку Delete an NT Service
    4. В открывшемся диалоге ввести название службы
    svchost.exe:ext.exe
    5.Нажать кнопку OK
    P.S. Перегрузиться не помешает

    Добавлено через 20 минут 59 секунд
    • Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
    МВАМ не любит креки , так что перед удаление проверьте результат сканирования.
     
    Последнее редактирование: 1 ноя 2009
  11. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    И в дополнение к новым логам.

    Скачайте GMER по одной из указанных ссылок:
    Gmer со случайным именем, Gmer в zip-архиве (перед применением распаковать в отдельную папку)
    - Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
    Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
    После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
    • Sections
    • IAT/EAT
    • Show all
    Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
    - Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
    После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
     
  12. StarkOFF
    Оффлайн

    StarkOFF Активный пользователь

    Сообщения:
    17
    Симпатии:
    0
    iskander-k, это конечно все хорошо, долго делать!!!

    Просто прошу заметить что в первом сообщении написал что проверил антивирусами и они ничего не нашли!
    Так, собственно, меня просто заинтересовало не осталось где чего "вредного", если без этого что написано выше не обойтись, то тогда да, сделаю!

    Заранее спасибо за понимание!!!

    много полезных указаний СПАСИБО!!!Если кого чем обидел, терпения на этих вирусей не хватает!Низкий поклон вам за помощь!

    akoK, ок надо будет попробовать


    и тут что ошибка достала вылазит и вылазит!!приклеил фаил внизу
     
    Последнее редактирование: 1 ноя 2009
  13. iskander-k
    Оффлайн

    iskander-k Команда форума Супер-Модератор Ассоциация VN/VIP Преподаватель

    Сообщения:
    3.733
    Симпатии:
    3.260
    Желаете сэкономить время пропустите всё что касается сохранения и очистки и перейдите сразу к скриптам.

    Времени потратите не больше чем надо для того чтобы скопировать код и вставить в АВЗ . И тоже само для хиджака.
    Без труда не выловишь рыбку из пруда.
    Если не верите проверьте, по названию, указанные в скрипте файлы в интернете.
     
    Последнее редактирование: 1 ноя 2009
  14. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    StarkOFF, таки вредоносов в системе много еще осталось. Нужно выполнять...

    Это Gmer такие ошибки выдает?

    Тогда усилим AVZ.
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
     SetAVZPMStatus(true);
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
     
  15. StarkOFF
    Оффлайн

    StarkOFF Активный пользователь

    Сообщения:
    17
    Симпатии:
    0
    akoK, нет просто сидишь даж ничего не делаешь (компьютер просто включен) и через некоторое время бац эта ошибка ОК или ОТМЕНА.

    так скрипт приведенный выше применил "Скрипт... забыл... нормально" Виндоуз стал перезагружаться и опять эта ошибка вылезла.


    Есть еще один маленький вопросик допустим, я решил ниаких таких опираций по очистке не делать а решил все форматнуть, так вот, можно будет фотки и музыку и документы записать на диски флешки и тд и тп... или вирь всетаки как нить перенесется!?
     
    Последнее редактирование: 1 ноя 2009
  16. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Значит еще остался "мусор" после удаления вредоносного ПО. Добъем на втором прогоне (после повторных логов).
     
  17. StarkOFF
    Оффлайн

    StarkOFF Активный пользователь

    Сообщения:
    17
    Симпатии:
    0
    akoK, ок но второй прогон будет только завтра... вставать скоро.
    и пока диска с Лайв СД нет или хотя бы с Курейтом.
     
  18. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Ну временные рамки мы не лимитируем. :)
     
  19. StarkOFF
    Оффлайн

    StarkOFF Активный пользователь

    Сообщения:
    17
    Симпатии:
    0
    akoK, посмотри плиз мое сообщение выше, я там вопросик один задал.

    ОЙ, Спасибо, спасибо, а то блин я вчера чуть ли не волосы рвать начал!
    просто недавно "белый экран" словил, а сейчас вот это. Стоит у меня кстати НОД, стоял сейчас Каспера поставил. Побегу после зарплаты лицензию покупать.
     
  20. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954

    Можно. Но антивирус должун быть установлен до переноса данных назад. И отключите автозапуск.
     
Статус темы:
Закрыта.

Поделиться этой страницей