Решена Надоели вирусы!!! Помогите!!!

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Elka, 28 фев 2009.

Статус темы:
Закрыта.
  1. Elka
    Оффлайн

    Elka Активный пользователь

    Сообщения:
    13
    Симпатии:
    0
    Началось все с того, что перестали открываться антивирусные сайты. Перестал загружаться в обычном режиме CureIT (в безопасном режиме проблем с ним нет). После проверки SDFix сайты открываются, а CureIT все также - появляется окно "setup.exe - обнаружена ошибка. Приложение будет закрыто". Посоветуйте, пожалуйста, как избавиться от гадов...
     
  2. ТроПа
    Оффлайн

    ТроПа Активный пользователь

    Сообщения:
    399
    Симпатии:
    738
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\VFTWX3AG\pin[1].exe','');
     QuarantineFile('yes.exe','');
     QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll','');
     QuarantineFile('C:\WINDOWS\system32\twex.exe','');
     DeleteFile('C:\WINDOWS\system32\twex.exe');
     DeleteFile('C:\WINDOWS\system32\msvcrt57.dll');
     DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\VFTWX3AG\pin[1].exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Прислать карантин (файл quarantine.zip из папки AVZ) на адрес 54712<at>rambler.ru где <at> - это @. В письме укажите ссылку на тему.

    Cкачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log

    Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

    1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
    2. Запустите combofix.exe, когда процесс завершится лог сохраниться в файл C:\ComboFix.txt

    Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

    Выложите новые логи АВЗ и Комбофикс и Гмер. И C:\Report.txt прикрипите к сообщению.
     
  3. Elka
    Оффлайн

    Elka Активный пользователь

    Сообщения:
    13
    Симпатии:
    0
    Сообщение так и не удалось отправить, возвращается назад.:unknw: Новые логи выкладываю. А что делать с карантином АВЗ и C:\Report.txt, сюда же выложить?
     
  4. ТроПа
    Оффлайн

    ТроПа Активный пользователь

    Сообщения:
    399
    Симпатии:
    738
    C:\Report.txt - да выложите. Карантин не надо.

    yes.exe - попробуйте поискать при помощи АВЗ--сервис--поиск файлов на диске. Напишите если найдётся.

    Включите показ скрытых и системных файлов, если он у вас отключен, найдите
    c:\windows\system32\57FFB51F78.sys
    c:\windows\system32\KGyGaAvL.sys

    и проверьте их на virustotal.com а у нас дайте ссылки на результаты проверки файлов

    Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ с паролем virus и пришлите на [​IMG] с указанием ссылки на тему и файл quarantine.zip из папки AVZ тудаже попробуйте выслать
     
    Последнее редактирование: 28 фев 2009
  5. Elka
    Оффлайн

    Elka Активный пользователь

    Сообщения:
    13
    Симпатии:
    0
    выложила
     
  6. Elka
    Оффлайн

    Elka Активный пользователь

    Сообщения:
    13
    Симпатии:
    0
    хттп://www.virustotal.com/ru/analisis/e7bc4dae24f55a9ee554a09821bff798
    хттп://www.virustotal.com/ru/analisis/24b7f9caf677a16331e64e9f56ffa70c

    yes.exe - не нашла
     
  7. ТроПа
    Оффлайн

    ТроПа Активный пользователь

    Сообщения:
    399
    Симпатии:
    738
  8. Elka
    Оффлайн

    Elka Активный пользователь

    Сообщения:
    13
    Симпатии:
    0
    логи RSIST повторила. Компьютер ведет себя гораздо лучше. Все первоначальные проблемы исчезли, т.е. и сайты и CureIT открываются. Неужели на этом все?!!:yahoo:
     
  9. ТроПа
    Оффлайн

    ТроПа Активный пользователь

    Сообщения:
    399
    Симпатии:
    738
    Да. Теперь меняйте все пароли, т.к. один из вирусов у Вас был LdPinch.

    Для деинсталяции ComboFix с компьютера необходимо выполнить:
    Нажать Пуск затем Выполнить в окне наберите команду Combofix /u (обязательно нужен пробел между х и /), нажмите кнопку "ОК"
    [​IMG]

    перед удалением гмера в папке Windows найдите файл gmer_uninstall.cmd запустите его, после удалите gmer_uninstall.cmd и gmer.ini, теперь можно удалять папку с Гмером.

    Перед удалением АВЗ меню файл--стандартные скрипты, ставите галочку возле пункта 6 Удалние всех драйверов и ключей реестра AVZ. Выполнить отмеченный скрипты. после этого удаляйте папку с АВЗ.
     
  10. Elka
    Оффлайн

    Elka Активный пользователь

    Сообщения:
    13
    Симпатии:
    0
    Здорово!!! Спасибо большое! Ну, тогда уже для успокоения, почему в АВЗ при запуске станд.скриптов №3 выдается нижеследующий отчет:

    Маскировка процесса с PID=3024, имя = "setup.exe", полное имя = "\Device\HarddiskVolume1\DOCUME~1\9335~1\LOCALS~1\Temp\RarSFX0\setup.exe"
    >> обнаружена подмена PID (текущий PID=3636, реальный = 3024)
    >> обнаружена подмена имени, новое имя = "avz.exe
    "


    1.5 Проверка обработчиков IRP
    \FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 863671F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 863671F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_EA] = 863671F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_EA] = 863671F8 -> перехватчик не определен


    Так и должно быть?
     
    Последнее редактирование: 28 фев 2009
  11. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.432
    Симпатии:
    13.941
    Скачайте OTCleanIt, запустите, нажмите Clean up

    setup.exe - похоже cureit

    Acrobat 7.0 - сменить на Acrobat 9.0
    Дочистим мусор :)
    Пофиксить в HijackThis следующие строчки
    Код (Text):
     O24 - Desktop Component 0: (no name) - http://www.winda.ru/photo/files/big/DNaturenature_374.jpg
    O24 - Desktop Component 1: (no name) - http://www.winda.ru/photo/files/big/DPrirodab4732.jpg
    O24 - Desktop Component 2: (no name) - http://www.winda.ru/photo/files/big/DPictureslandscape57.JPG
    O24 - Desktop Component 3: (no name) - http://www.winda.ru/photo/files/big/DPicturesCAT_0030.JPG
    O24 - Desktop Component 4: (no name) - http://www.winda.ru/photo/files/big/DNature72-1024.JPG
    O24 - Desktop Component 5: (no name) - http://www.winda.ru/photo/files/small/DNaturenature_437.jpg
    O24 - Desktop Component 6: (no name) - http://img.blogonline.ru/bl/posts/thumbs/70/1178388470_1_53.jpg
     
    Скачайте OTMoveIt3 by OldTimer или с зеркала и сохраните на рабочий стол.
    Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
    временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
    Код (Text):

    :Processes
    explorer.exe

    :Services
    ajpzfedx
    :Files
    C:\WINDOWS\system32\drivers\ajpzfedx.sys
    :Reg

    :Commands
    [purity]
    [emptytemp]
    [start explorer]
    [Reboot]
     
    В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.
    Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
     
  12. ТроПа
    Оффлайн

    ТроПа Активный пользователь

    Сообщения:
    399
    Симпатии:
    738
    Ну это вполне может быть. т.к. некоторые программы загружают часть кода в оперативную память и потом понять кто это сделал непонятно.

    Это запускалось что-то из архива.
     
  13. ТроПа
    Оффлайн

    ТроПа Активный пользователь

    Сообщения:
    399
    Симпатии:
    738
    После полного анализа карантинов
    msvcrt57.dll - Trojan-PSW.Win32.WebMoner.ea, pin[1].exe - Trojan-PSW.Win32.LdPinch.grh, twex.exe - Trojan-Spy.Win32.Zbot.omn, qmgr0.dat, qmgr1.dat - Trojan-Downloader.Win32.Pif.ng
     
  14. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.432
    Симпатии:
    13.941
    Меняйте все пароли.
     
  15. Elka
    Оффлайн

    Elka Активный пользователь

    Сообщения:
    13
    Симпатии:
    0
    Спасибо всем огромное! Все рекомендации выполнила. :good3:
     
Статус темы:
Закрыта.

Поделиться этой страницей