Решена Компьютер заражен вирусами

Тема в разделе "Лечение компьютерных вирусов", создана пользователем hoper, 21 апр 2012.

Статус темы:
Закрыта.
  1. hoper
    Оффлайн

    hoper Активный пользователь

    Сообщения:
    360
    Симпатии:
    44
    Компьютер оказался зараженным. Перестал работать интернет, установились какие-то непонятные китайские программы.
     

    Вложения:

    • info.txt
      Размер файла:
      6,3 КБ
      Просмотров:
      1
    • log.txt
      Размер файла:
      39,1 КБ
      Просмотров:
      7
    • virusinfo_syscheck.zip
      Размер файла:
      28,5 КБ
      Просмотров:
      3
    • virusinfo_syscure.zip
      Размер файла:
      28,7 КБ
      Просмотров:
      3
  2. Ботан
    Оффлайн

    Ботан Злостный спам-бот

    Сообщения:
    1.094
    Симпатии:
    194
    Приветствую joas, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
    __________________________________________________

    Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
    • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
    Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.


    __________________________________________________
    С уважением, администрация SafeZone.
     
  3. hoper
    Оффлайн

    hoper Активный пользователь

    Сообщения:
    360
    Симпатии:
    44
    выклыдываю логи МВАМ и SecurityCheck
     

    Вложения:

  4. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearQuarantine;
     TerminateProcessByName('c:\documents and settings\фф\application data\yl86g6nq.exe');
     TerminateProcessByName('c:\program files\smss.exe');
     TerminateProcessByName('c:\windows\system32\jarinet\qqextrenal.exe');
     TerminateProcessByName('c:\documents and settings\фф\pieva.exe');
     TerminateProcessByName('c:\documents and settings\фф\application data\msconfig.exe');
     TerminateProcessByName('c:\documents and settings\фф\local settings\application data\ezprivacysub2.exe');
     TerminateProcessByName('c:\windows\chinde.exe');
     SetServiceStart('ПµНі№Шјь·юОс', 4);
     StopService('ПµНі№Шјь·юОс');
     QuarantineFile('C:\WINDOWS\system32\odwclfb.dll','');
     QuarantineFile('C:\Утилиты\Программы для интернета\123.exe','');
     QuarantineFile('C:\Утилиты\Программы для интернета\041.exe','');
     QuarantineFile('C:\Утилиты\Программы для интернета\005.exe','');
     QuarantineFile('C:\Documents and Settings\фф\dlay.exe','');
     QuarantineFile('C:\Program Files\Bifrost\server.exe','');
     QuarantineFile('C:\Утилиты\Программы для интернета\018.exe','');
     QuarantineFile('C:\Program Files\АМБц ЗБ¶уАМ№цЅГ\EzPrivacy2.exe','');
     QuarantineFile('C:\Documents and Settings\All Users\Application Data\042.exe','');
     QuarantineFile('C:\WINDOWS\system32\7DF045C6.sys','');
     QuarantineFile('C:\Program Files\Znveevzsv.fnr','');
     QuarantineFile('C:\Program Files\krnln.fne','');
     QuarantineFile('C:\Program Files\Exmlrpc.fne','');
     QuarantineFile('C:\Program Files\dp1.fne','');
     QuarantineFile('c:\documents and settings\фф\application data\yl86g6nq.exe','');
     QuarantineFile('c:\program files\smss.exe','');
     QuarantineFile('c:\windows\system32\jarinet\qqextrenal.exe','');
     QuarantineFile('c:\documents and settings\фф\pieva.exe','');
     QuarantineFile('c:\documents and settings\фф\application data\msconfig.exe','');
     QuarantineFile('c:\documents and settings\фф\local settings\application data\ezprivacysub2.exe','');
     QuarantineFile('c:\windows\chinde.exe','');
     DeleteFile('c:\documents and settings\фф\local settings\application data\ezprivacysub2.exe');
     DeleteFile('c:\windows\system32\jarinet\qqextrenal.exe');
     DeleteFile('C:\Program Files\dp1.fne');
     DeleteFile('C:\Program Files\Exmlrpc.fne');
     DeleteFile('C:\Program Files\krnln.fne');
     DeleteFile('C:\Program Files\Znveevzsv.fnr');
     DeleteFile('C:\WINDOWS\system32\7DF045C6.sys');
     DeleteFile('C:\Program Files\smss.exe');
     DeleteFile('C:\Documents and Settings\All Users\Application Data\042.exe');
     DeleteFile('C:\Documents and Settings\фф\Application Data\YL86G6NQ.exe');
     DeleteFile('C:\Documents and Settings\фф\Application Data\msconfig.exe');
     DeleteFile('C:\Documents and Settings\фф\pieva.exe');
     DeleteFile('C:\WINDOWS\chinde.exe');
     DeleteFile('C:\Утилиты\Программы для интернета\018.exe');
     DeleteFile('C:\Documents and Settings\фф\dlay.exe');
     DeleteFile('C:\Утилиты\Программы для интернета\005.exe');
     DeleteFile('C:\Утилиты\Программы для интернета\041.exe');
     DeleteFile('C:\Утилиты\Программы для интернета\123.exe');
     DeleteFile('C:\WINDOWS\system32\odwclfb.dll');
     DeleteFile('C:\Program Files\bifrost\server.exe');
     DelCLSID('{9B71D88C-C598-4935-C5D1-43AA4DB90836}');
     if MessageDLG('Заражение Вашего компьютера произошло через автоматический запуск программ на съемных накопителях. Отключить автозапуск?', mtConfirmation, mbYes+mbNo, 0) = 6 then
     RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'NoDriveTypeAutoRun', '221');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','TX1W9BXAA3HA');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','WindowsUpdate');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','TX1W9BXAA3HA');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','TX1W9BXAA3HA');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','TX1W9BXAA3HA');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','pieva');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','WindowsUpdate');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','WindowsUpdate');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
     DeleteService('ПµНі№Шјь·юОс');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteFile('C:\WINDOWS\system32\7DF045C6.sys');
     BC_DeleteSvc('ПµНі№Шјь·юОс');
    BC_Activate;
     ExecuteRepair(9);
     ExecuteWizard('SCU',2,3,true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится, После перезагрузки:
    - выполните такой скрипт

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

    Пофиксите в HJT:

    Код (Text):
    O4 - HKLM\..\Run: [TX1W9BXAA3HA] C:\Documents and Settings\фф\Application Data\YL86G6NQ.exe
    O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\chinde.exe
    O4 - HKLM\..\Run: [042.exe] C:\Documents and Settings\All Users\Application Data\042.exe
    O4 - HKLM\..\Run: [WindowsUpdate] C:\Documents and Settings\фф\Application Data\msconfig.exe
    O4 - HKCU\..\Run: [free-save] C:\Утилиты\Программы для интернета\018.exe
    O4 - HKCU\..\Run: [pieva] C:\Documents and Settings\фф\pieva.exe /X
    O4 - HKCU\..\Run: [WindowsUpdate] C:\Documents and Settings\фф\Application Data\msconfig.exe
    O4 - HKLM\..\Policies\Explorer\Run: [TX1W9BXAA3HA] C:\Documents and Settings\фф\Application Data\YL86G6NQ.exe
    O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\chinde.exe
    O4 - HKCU\..\Policies\Explorer\Run: [TX1W9BXAA3HA] C:\Documents and Settings\фф\Application Data\YL86G6NQ.exe
    O20 - AppInit_DLLs: C:\WINDOWS\system32\odwclfb.dll
    Повторите сканирование MBAM и удалите все найденное

    Повторите логи AVZ и RSIT
     
  5. hoper
    Оффлайн

    hoper Активный пользователь

    Сообщения:
    360
    Симпатии:
    44
    карантин получился на 25 мб, он не отправится через форму, там же лимит 8 мб
     
  6. hoper
    Оффлайн

    hoper Активный пользователь

    Сообщения:
    360
    Симпатии:
    44
    новые логи
     

    Вложения:

    • virusinfo_syscure.zip
      Размер файла:
      18,5 КБ
      Просмотров:
      2
    • virusinfo_syscheck.zip
      Размер файла:
      17 КБ
      Просмотров:
      0
    • info.txt
      Размер файла:
      6,3 КБ
      Просмотров:
      0
    • log.txt
      Размер файла:
      33,4 КБ
      Просмотров:
      3
  7. hoper
    Оффлайн

    hoper Активный пользователь

    Сообщения:
    360
    Симпатии:
    44
    карантин отпарвил
     
  8. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearQuarantine;
     TerminateProcessByName('c:\documents and settings\фф\application data\googlecrashhandler.exe');
     QuarantineFile('C:\Program Files\АМБц ЗБ¶уАМ№цЅГ\EzPrivacy2.exe','');
     QuarantineFile('C:\Program Files\InfoWise\InfoWise.exe','');
     QuarantineFile('c:\documents and settings\фф\application data\googlecrashhandler.exe','');
     QuarantineFile('C:\Program Files\Znveevzsv.exe','');
     QuarantineFile('C:\WINDOWS\system32\44.tmp','');
     QuarantineFile('C:\1.vbs','');
     QuarantineFile('C:\Documents and Settings\фф\Application Data\ACHN4U.dll','');
     QuarantineFile('C:\WINDOWS\system32\sysapp2.dll','');
     QuarantineFile('C:\WINDOWS\system32\yumsimg32.dll','');
     QuarantineFile('C:\WINDOWS\system32\yumidimap.dll','');
     QuarantineFile('C:\WINDOWS\system32\yuksuser.dll','');
     QuarantineFile('C:\WINDOWS\system32\7DF045C6.sys','');
     DeleteFile('C:\Program Files\Znveevzsv.exe');
     DeleteFile('C:\WINDOWS\system32\44.tmp');
     DeleteFile('C:\1.vbs');
     DeleteFile('C:\Documents and Settings\фф\Application Data\ACHN4U.dll');
     DeleteFile('C:\WINDOWS\system32\sysapp2.dll');
     DeleteFile('C:\WINDOWS\system32\yumsimg32.dll');
     DeleteFile('C:\WINDOWS\system32\yumidimap.dll');
     DeleteFile('C:\WINDOWS\system32\yuksuser.dll');
     DeleteFile('C:\WINDOWS\system32\7DF045C6.sys');
     DeleteFile('C:\Documents and Settings\фф\Application Data\GoogleCrashHandler.exe');
     DeleteFile('C:\Program Files\InfoWise\InfoWise.exe');
     DeleteFile('C:\Program Files\АМБц ЗБ¶уАМ№цЅГ\EzPrivacy2.exe');
     DeleteFileMask('C:\Program Files\HanpanderPlayer', '*.*', true);
     DeleteDirectory('C:\Program Files\HanpanderPlayer');
     DeleteFileMask('C:\Program Files\АМБц ЗБ¶уАМ№цЅГ\', '*.*', true);
     DeleteDirectory('C:\Program Files\АМБц ЗБ¶уАМ№цЅГ\');
     DeleteFileMask('C:\Program Files\InfoWise\', '*.*', true);
     DeleteDirectory('C:\Program Files\InfoWise\');
     DeleteFileMask('C:\Program Files\bifrost\', '*.*', true);
     DeleteDirectory('C:\Program Files\bifrost\');
     DeleteFileMask('C:\Program Files\', '*.fnr', false);
     DeleteFileMask('C:\Program Files\', '*.fne', false);
     DeleteFileMask('c:\documents and settings\фф\application data\', '*.exe', false);
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','GoogleCrashHandler');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','InfoWise');
    BC_ImportAll;
     BC_DeleteSvc('7DF045C6');
    ExecuteSysClean;
    BC_Activate;
     ExecuteRepair(10);
     ExecuteWizard('SCU',2,3,true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится, После перезагрузки:
    - выполните такой скрипт

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

    Пофиксите в HJT:

    Код (Text):

    O4 - HKCU\..\Run: [GoogleCrashHandler] C:\Documents and Settings\фф\Application Data\GoogleCrashHandler.exe
    O4 - HKLM\..\Run: [InfoWise] C:\Program Files\InfoWise\InfoWise.exe
    Повторите логи AVZ, RSIT и MBAM
     
  9. hoper
    Оффлайн

    hoper Активный пользователь

    Сообщения:
    360
    Симпатии:
    44
    скрипт выполнил, карантин выслал.
    Но после выполнения второго скрипта перестал запускаться хром.
    Выдает ошибку: "Точка входа в процедуру yumsimg32.AlphaBlend не найдена в библиотеке DLL msimg32.dll". При входе в систему, компьютер требует якобы пароль, но на самом деле пароля нету, поэтому для входа в систему я в поле ввода пароля ничего не ввожу, а просто нажимаю ОК. Но все равно наличие окошки с требованием ввода пароля меня напрягает.
    Сейчас готовлю новые логи
     
  10. hoper
    Оффлайн

    hoper Активный пользователь

    Сообщения:
    360
    Симпатии:
    44
    выкладываю логи АВЗ и РСИТ и выкладываю лог МВАМ. Лог virusinfo_syscheck.zip будет позже.
     

    Вложения:

  11. hoper
    Оффлайн

    hoper Активный пользователь

    Сообщения:
    360
    Симпатии:
    44
    лог virusinfo_syscheck.zip
     

    Вложения:

  12. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    1. Удалите в MBAM все найденное.
    2. Установите антивирус.
    3. Вставьте в CD-ROM диск с дистрибутивом Виндовс и скомандуйте в командной стороке:

    Код (Text):
    sfc /scannow
    4. Хром переустановите.

    Добавлено через 2 минуты 2 секунды
    + еще подготовьте лог GMER
     
  13. hoper
    Оффлайн

    hoper Активный пользователь

    Сообщения:
    360
    Симпатии:
    44
    удалил еще до вашего поста.
    пробывал, не помогает. Все равно окно с вводом пароля появляется при загрузке.
    Окна проводника также по-прежнему искажены.
     

    Вложения:

    • gmer.log
      Размер файла:
      65,1 КБ
      Просмотров:
      7
  14. hoper
    Оффлайн

    hoper Активный пользователь

    Сообщения:
    360
    Симпатии:
    44
    не могу переустановить. "Установка и удаление программ" в панели упарвлении не открывается. Хотел бы узнать почему.
     
  15. hoper
    Оффлайн

    hoper Активный пользователь

    Сообщения:
    360
    Симпатии:
    44
    Окна в проводнике искажены (смотрите скрин)
     

    Вложения:

  16. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    В папке с AVZ есть папка Backup запакуйте ее и прикрепите к следующему сообщению
     
  17. hoper
    Оффлайн

    hoper Активный пользователь

    Сообщения:
    360
    Симпатии:
    44
    вот
     

    Вложения:

    • Backup.zip
      Размер файла:
      1,5 КБ
      Просмотров:
      2
  18. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
  19. hoper
    Оффлайн

    hoper Активный пользователь

    Сообщения:
    360
    Симпатии:
    44
    а если не поможет?
     
  20. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    joas, выполните скрипт в AVZ

    Код (Text):
    begin
     ExecuteRepair(6);
     ExecuteRepair(8);
     RebootWindows(false);
    end.
    компьютер перезагрузится.

    какие-нибудь изменения к лучшему есть ?
     
Статус темы:
Закрыта.

Поделиться этой страницей