Решена Контрольная проверка после файлового вируса!

Тема в разделе "Лечение компьютерных вирусов", создана пользователем siv21102, 1 дек 2011.

Статус темы:
Закрыта.
  1. siv21102
    Оффлайн

    siv21102 Активный пользователь

    Сообщения:
    206
    Симпатии:
    4
    Здравстрвуйте. На машине обнаружен файловый вирус, как и в моей последнй теме, (незаконченной, сканирую пока тот комп с помощью лайв СD).
    Данный компьютер также полечил LiveCD от DrWeb, а также CureIt - Dr.Web
    Вирус был Sector.12 троянчики в списке промелькали тоже:)
    Проверьте пожалуйста наличие вредоносов! Заранее спасибо!
     

    Вложения:

    • hijackthis.log
      Размер файла:
      8,2 КБ
      Просмотров:
      2
    • log.txt
      Размер файла:
      26,8 КБ
      Просмотров:
      3
    • virusinfo_syscure.zip
      Размер файла:
      23,5 КБ
      Просмотров:
      7
  2. Techno
    Оффлайн

    Techno Ассоциация VN

    Сообщения:
    881
    Симпатии:
    407
    Смотрю логи, скоро отвечу...

    Добавлено через 6 минут 17 секунд
    Здравствуйте!!!

    - Выполните в АВЗ:
    Код (Text):
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearQuarantine;
     QuarantineFile('E:\autorun.inf','');
     QuarantineFile('C:\WINDOWS\system32\jate.exe','');
     QuarantineFile('C:\WINDOWS\system32\WinHelp32.exe','');
     QuarantineFile('C:\WINDOWS\system32\hjco.exe','');
     QuarantineFile('C:\WINDOWS\System32\tcpwakslib.exe','');
     QuarantineFile('C:\Program Files\imcssm.exe','');
     QuarantineFile('C:\Program Files\icieyi.exe','');
     QuarantineFile('C:\WINDOWS\system32\G001.exe','');
     DeleteFile('C:\WINDOWS\system32\G001.exe');
     DeleteFile('C:\Program Files\icieyi.exe');
     DeleteFile('C:\Program Files\imcssm.exe');
     DeleteFile('C:\WINDOWS\System32\tcpwakslib.exe');
     DeleteFile('C:\WINDOWS\system32\hjco.exe');
     DeleteFile('C:\WINDOWS\system32\WinHelp32.exe');
     DeleteFile('C:\WINDOWS\system32\jate.exe');
     DelCLSID('{9F6CB7FC-F0DD-4458-9F58-F2CB81C5E87E}');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('bts');
     BC_DeleteSvc('MSUpdqtejyf');
     BC_DeleteSvc('qhUlNflD');
     BC_DeleteSvc('WaksSvc');
     BC_DeleteSvc('WMMNetworkKtx');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится

    После перезагрузки:
    - Выполните в АВЗ:
    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Файл quarantine.zip из папки AVZ загрузите через форму. Укажите ссылку на тему и ник на форуме.

    - Установите SP3 (может потребоваться активация), новый Internet Explorer, а также все доступные обновления для Windows

    - Повторите логи

    + Сделайте лог MBAM
     
    Последнее редактирование: 1 дек 2011
  3. icotonev
    Оффлайн

    icotonev Ассоциация VN

    Сообщения:
    1.405
    Симпатии:
    1.641
  4. siv21102
    Оффлайн

    siv21102 Активный пользователь

    Сообщения:
    206
    Симпатии:
    4
    это другой комп, похожие симптомы просто! Та тема в работе, он сейчас дома под LIVECD сканируется а я на работе лечу ноутбук :) У меня такого добра как вирусы полна коробочка, колеги, друзья, родственники и прочее :)


    Карантин по этой теме послал. Делаю новые логи АВЗ
     
    Последнее редактирование: 1 дек 2011
  5. icotonev
    Оффлайн

    icotonev Ассоциация VN

    Сообщения:
    1.405
    Симпатии:
    1.641
    Я понял .... спасибо..!:)
     
  6. siv21102
    Оффлайн

    siv21102 Активный пользователь

    Сообщения:
    206
    Симпатии:
    4
    Выкладываю логи. По MBAM сообщаю следующее: Провел быстрое сканирование. Т.к. не успею до конца рабочего дня! Если в данном случае это принципиально, тогда оставлю его на полной проверке на ночь!
    Я его в полном режиме проверки запускал в принципе вчера, нашел кучу всего, я все удалил!

    Решил показать вчерашний лог, правда не знаю имеет ли это смысл!?
    Сервис пака 3 под рукой не имею, так что пока данную рекомендацию опущу!
     

    Вложения:

    Последнее редактирование: 1 дек 2011
  7. Techno
    Оффлайн

    Techno Ассоциация VN

    Сообщения:
    881
    Симпатии:
    407
    - Выполните в АВЗ:
    Код (Text):
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearQuarantine;
     QuarantineFile('C:\WINDOWS\aadrive32.exe','');
     QuarantineFile('C:\WINDOWS\jodrive32.exe','');
     QuarantineFile('C:\WINDOWS\jxdrive32.exe','');
     QuarantineFile('C:\Documents and Settings\1\Application Data\87.tmp','');
     QuarantineFile('C:\Documents and Settings\1\Application Data\6.tmp','');
     QuarantineFile('C:\Documents and Settings\1\Application Data\C.tmp','');
     QuarantineFile('C:\Documents and Settings\1\Application Data\E.tmp','');
     QuarantineFile('C:\Documents and Settings\1\Application Data\17.tmp','');
     QuarantineFile('C:\Documents and Settings\1\Application Data\2C.tmp','');
     QuarantineFile('C:\Documents and Settings\1\Application Data\30.tmp','');
     DeleteFile('C:\WINDOWS\aadrive32.exe');
     DeleteFile('C:\WINDOWS\jodrive32.exe');
     DeleteFile('C:\WINDOWS\jxdrive32.exe');
     DeleteFile('C:\Documents and Settings\1\Application Data\87.tmp');
     DeleteFile('C:\Documents and Settings\1\Application Data\6.tmp');
     DeleteFile('C:\Documents and Settings\1\Application Data\C.tmp');
     DeleteFile('C:\Documents and Settings\1\Application Data\E.tmp');
     DeleteFile('C:\Documents and Settings\1\Application Data\17.tmp');
     DeleteFile('C:\Documents and Settings\1\Application Data\2C.tmp');
     DeleteFile('C:\Documents and Settings\1\Application Data\30.tmp');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\Documents and Settings\1\Application Data\87.tmp');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\Documents and Settings\1\Application Data\6.tmp');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\Documents and Settings\1\Application Data\C.tmp');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\Documents and Settings\1\Application Data\E.tmp');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\Documents and Settings\1\Application Data\17.tmp');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\Documents and Settings\1\Application Data\2C.tmp');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\Documents and Settings\1\Application Data\30.tmp');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.

    Компьютер перезагрузится

    После перезагрузки:
    - Выполните в АВЗ:
    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Файл quarantine.zip из папки AVZ загрузите через форму. Укажите ссылку на тему и ник на форуме.

    Выполните в АВЗ скрипт отсюда

    Нужно обязательно обновляться:

    - Установите SP3 (может потребоваться активация), новый Internet Explorer, а также все доступные обновления для Windows

    И давайте все таки полный MBAM посмотрим;)
     
  8. siv21102
    Оффлайн

    siv21102 Активный пользователь

    Сообщения:
    206
    Симпатии:
    4
    Скрипт не запускается! Ругается на BEGIN!
     

    Вложения:

  9. Sfera
    Оффлайн

    Sfera Куратор обучения Ассоциация VN/VIP VIP

    Сообщения:
    6.327
    Симпатии:
    5.128
    siv21102, в скрипте нет ошибок, проверьте: все ли символы вы скопировали?
     
  10. siv21102
    Оффлайн

    siv21102 Активный пользователь

    Сообщения:
    206
    Симпатии:
    4
    О, сейчас "пробежал" причины не понятны копировал с флешки из файла txt также как и при первой попытке!


    Подскажите пожалуйста, по какой причине (своими словами) мне понадобился данный скрипт???
     

    Вложения:

  11. Techno
    Оффлайн

    Techno Ассоциация VN

    Сообщения:
    881
    Симпатии:
    407
    Были повреждены службы отвечающие за обновление системы.

    Лог РСИТ сделайте.
     
  12. siv21102
    Оффлайн

    siv21102 Активный пользователь

    Сообщения:
    206
    Симпатии:
    4
    Комп до следующей недели недоступен!
     
  13. siv21102
    Оффлайн

    siv21102 Активный пользователь

    Сообщения:
    206
    Симпатии:
    4
    Спасибо за помощь, закройте тему как решенную, с буком все хорошо. мне его больше не принесут!
     
Статус темы:
Закрыта.

Поделиться этой страницей