Решена Кидо и компания

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Влачер, 28 апр 2010.

Статус темы:
Закрыта.
  1. Влачер
    Оффлайн

    Влачер Активный пользователь

    Сообщения:
    107
    Симпатии:
    291
    Коллега по работе пожаловался, что какие то окошки на домашнем компе стали выскакивать. Стояла Авира ПСС, но оказалось, что её успешно съели (зонтик сложен и строка сканера в контекстном меню неактивна). Было заблокировано системное восстановление, cureit просто подвисал на месте и не работал. Начал с МБАМ- удалилось около 15 объектов - трояны, руткит, хвосты червя. После этого cureit запустился и нашёл ещё 8 шт. Потом через ливсиди запустил AVPTool-нашёл главного виновника, которого ни веб, ни МБАМ не видели. После этого установилась и заработала Авира. Системное восстановление восстановил через АВЗ(но галочку снял). В безопасном режиме комп не запускается, сообщает об ошибке и просит запустить последнюю удачную конфигурацию. Надо сказать, что стояла хрюша с непатченным СП-1.:eek:Пришлось поставить СП3 и патчи 44,87. Ещё заметил, что система долго завершает работу- по 3-5 мин. Пока авз сканирует, кладу лог хиджака, коечто мне там не нравится, но авира со свежими базами ничего практически не нашла. Работоспособность интернета на проверял, хостфайл был размером более 4,5 Мб, сплошные абракозябры, просто взял и заменил файлом с другого компа.
     

    Вложения:

    • hijackthis.zip
      Размер файла:
      2,4 КБ
      Просмотров:
      5
  2. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Система заражена. Ждем логи AVZ для комплексного лечения.
     
    2 пользователям это понравилось.
  3. Влачер
    Оффлайн

    Влачер Активный пользователь

    Сообщения:
    107
    Симпатии:
    291
    Конечно же после такого зверинца можео ждать чего угодно. Логи
     

    Вложения:

  4. Влачер
    Оффлайн

    Влачер Активный пользователь

    Сообщения:
    107
    Симпатии:
    291
    Появлюсь завтра вечером. Забыл сказать, что менял explorer.exe/ У него дата изменения была как раз тогда, когда эта бодяга началась
     
    Последнее редактирование: 28 апр 2010
  5. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Пофиксить в HijackThis следующие строчки
    Код (Text):
    F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\windows\system32\718eb4a6.exe,\\?\globalroot\systemroot\system32\4yjh6rg.exe,
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\windows\system32\fusservices.exe','');
     QuarantineFile('c:\windows\system32\srvany.exe','');
     QuarantineFile('c:\docume~1\9335~1\locals~1\temp\imspqmn.sys','');
     QuarantineFile('c:\program files\plugin.exe','');
     QuarantineFile('c:\windows\system32\718eb4a6.exe','');
     QuarantineFile('c:\windows\system32\4yjh6rg.exe','');
     DeleteFile('c:\windows\system32\4yjh6rg.exe');
     DeleteFile('c:\windows\system32\srvany.exe');
     DeleteFile('c:\docume~1\9335~1\locals~1\temp\imspqmn.sys');
     DeleteFile('c:\program files\plugin.exe');
     DeleteFile('c:\windows\system32\718eb4a6.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','plugin');
     DeleteService('reset 5');
     DeleteService('imspqmn');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.

    Полученный архив необходимо загрузить при помощи этой формы:
    1. Выберите тип запроса "неизвестная вредоносная программа" и введите изображенное на картинке число, нажмите "Далее".
    2. В окне "Подробное описание возникшей ситуации" наберите "Пароль: virus".
    3. Прикрепите файл карантина и нажмите "Далее".
    4. Если размер карантина превышает 1,5 мб, то карантин отправьте по адресу newvirus@kaspersky.com

    Добавлено через 15 секунд
    Повторите логи.
     
    8 пользователям это понравилось.
  6. Влачер
    Оффлайн

    Влачер Активный пользователь

    Сообщения:
    107
    Симпатии:
    291
    Пофиксил, скрипт выполнился без ошибок. Карантин отправил, правда он какой то жидки получился. Кладу пока хиджака, авз ещё работает:mad:
    Одна штука осталась(а может и не одна):sorry:
     

    Вложения:

    Последнее редактирование: 29 апр 2010
  7. Влачер
    Оффлайн

    Влачер Активный пользователь

    Сообщения:
    107
    Симпатии:
    291
    Вот ответ ЛК

    Вот ещё ссылка http://windows-processes.thefile.net/tasks/char_F.html
    Безопасный режим по прежнему не запускается
     
    Последнее редактирование: 29 апр 2010
  8. icotonev
    Оффлайн

    icotonev Ассоциация VN

    Сообщения:
    1.406
    Симпатии:
    1.643
    Последнее редактирование: 29 апр 2010
    2 пользователям это понравилось.
  9. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Пофиксить в HijackThis следующие строчки
    Код (Text):
        O20 - Winlogon Notify: reset5 - C:\WINDOWS\
    Скачайте GMER по одной из указанных ссылок:
    Gmer со случайным именем, Gmer в zip-архиве (перед применением распаковать в отдельную папку)
    - Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
    Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
    После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
    • Sections
    • IAT/EAT
    • Show all
    Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
    - Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
    После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
     
    2 пользователям это понравилось.
  10. Влачер
    Оффлайн

    Влачер Активный пользователь

    Сообщения:
    107
    Симпатии:
    291
    Натюрлих!!! Арбайтен!!!:)
     
  11. Влачер
    Оффлайн

    Влачер Активный пользователь

    Сообщения:
    107
    Симпатии:
    291
    логи
     

    Вложения:

    • log.log
      Размер файла:
      10,8 КБ
      Просмотров:
      4
  12. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Чисто. Что с проблемами?
     
    2 пользователям это понравилось.
  13. Влачер
    Оффлайн

    Влачер Активный пользователь

    Сообщения:
    107
    Симпатии:
    291
    Хозяева компа благодарны, интернет работает.Спасибо всему сообществу:victory::bye:
     
    6 пользователям это понравилось.
Статус темы:
Закрыта.

Поделиться этой страницей