Закрыто Непонятный вирус.

Тема в разделе "Лечение компьютерных вирусов", создана пользователем AndreyZakharov, 27 дек 2014.

Статус темы:
Закрыта.
  1. AndreyZakharov
    Оффлайн

    AndreyZakharov Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    Данный вирус не удалось классифицировать. По описанию похож на Penetrator. Имеются процессы C:\WINDOWS\system32\АHTОMSYSNT, swss и svhost.exe. Замечен был при переустановке ОС на ноутбуке. Обнаружил активность по записям в журнале событий. С помощью утилиты Spyware Process Detector пытался убить ложные процессы. Удалось привести в норму службы, но затем система перезагрузилась и не запустилась. После переустановки на лок. диск заметил, что уже сформированы права пользователей и параметры безопасности. У меня оказались пониженные права. Пробовал удалить завирусованные файлы через Far с загрузочного CD. Узнал, что созданы виртуальные разделы жестких дисков, часть физического диска зарезервирована. Затем система внесла загрузочные утилиты, которые блокировали запуск любого загрузочного диска, удалось обойти, создав два загрузочных раздела на флэшке. После ПК полностью отфармотировался, заново разбиты диски на разделы. Установлена система W7. Оказалась заражена... Не знаю, что делать, хотя не первый день в сервисе. Коллеги помочь не могут, стандартные решения не помогают. Очень прошу помощи. Поможете обезвредить, буду несказанно благодарен. Согласен на платный сервис. Готов предоставить любую информацию о ПК, системе и т.д. Как победим, свободное время буду проводить, помогая таким же бедолагам на форуме, как я. С уважением, А. Захаров.
     

    Вложения:

    Последнее редактирование модератором: 27 дек 2014
  2. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.208
    Симпатии:
    4.977
    У нас бесплатно.
    Вот и давайте)
    Выполните сбор логов с помощью этой утилиты.
    Согласно инструкции, которую вы уже, безусловно, изучили.

    При этом хотелось бы внятного объяснения: что беспокоит конкретно сейчас.
    Без спешки,внятно.
     
  3. AndreyZakharov
    Оффлайн

    AndreyZakharov Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    Хорошо. Понял. Выполнил сбор логов.
    --- Объединённое сообщение, 27 дек 2014, Дата первоначального сообщения: 27 дек 2014 ---
    Что беспокоит ... тут трудно одной фразой описать. "Потеря управления персональным компьютером". Закрыт доступ к администрированию, не могу удалить включенные службы. Компьютер работает автономно. Сам ставит себе приложения, сам выходит в интернет, при этом взламывая пароль на доступные точки доступа... Постоянно запущенны непонятные процессы, которые не могу отключить. Эти процессы нагружают процессор и ОЗУ. Фактически за 4 дня сформировалась параллельная операционная система на ПК. А я, как пользователь, работаю в некой "Оболочке". Сложно рассказать. Могу скрины сделать... Так будет проще описать, что происходит.
     

    Вложения:

  4. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.208
    Симпатии:
    4.977
    AndreyZakharov, на первый взгляд ничего плохого.

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin

    QuarantineFile('C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (2).lnk','');
    QuarantineFile('C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (3).lnk','');
    QuarantineFile('C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (4).lnk','');
    QuarantineFile('C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (5).lnk','');
    QuarantineFile('C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk','');
    QuarantineFile('C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk','');
    QuarantineFile('C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk','');
    QuarantineFile('C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (2).lnk','');
    QuarantineFile('C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (3).lnk','');
    QuarantineFile('C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (4).lnk','');
    QuarantineFile('C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (5).lnk','');
    QuarantineFile('C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (6).lnk','');
    QuarantineFile('C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk','');
    QuarantineFile('C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk','');
    QuarantineFile('C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk','');
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
    end.

     
    Затем выполните такой скрипт:

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


    c:\users\admin\appdata\roaming\bittorrent\bittorrent.exe - это ваше?
    Попробуйте его выгрузить,в порты скорее всего он ломится.


    Скачайте Malwarebytes' Anti-Malware или с зеркала. Установите (во время установки откажитесь от использования бесплатного тестового периода),(если у вас уже установлен MBAM то воспользуйтесь им) обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
    Самостоятельно ничего не удаляйте!!!
    Если лог не открылся, то найти его можно в следующей папке:
    Код (Text):
    %appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs
    Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: MBAM-log-2014-10-14 (12-18-10).txt
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM, зеркало обновлений MBAM.
    Подробнее читайте в руководстве
    --- Объединённое сообщение, 27 дек 2014, Дата первоначального сообщения: 27 дек 2014 ---
    Сделайте лог MiniToolBox
     
  5. AndreyZakharov
    Оффлайн

    AndreyZakharov Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    Спасибо! К сожалению у меня с первого пункта появились проблемы. Карантин формируется пустой. Утилита выдает ошибку при создании карантина.
    Код (Text):
    Ошибка карантина файла, попытка прямого чтения (C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (2).lnk)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (2).lnk)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (2).lnk)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (2).lnk)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (2).lnk)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (2).lnk)
    Карантин с использованием прямого чтения - ошибка
    Ошибка [2, QUARANTINEFILE]
    Ошибка карантина файла, попытка прямого чтения (C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (3).lnk)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (3).lnk)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (3).lnk)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (3).lnk)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (3).lnk)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (3).lnk)
    Карантин с использованием прямого чтения - ошибка
     
    Последнее редактирование модератором: 27 дек 2014
  6. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.208
    Симпатии:
    4.977
    Выполните скрипт avz:
    Код (Text):
    begin
    QuarantineFileF('C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar','*.lnk', true,'',0 ,0);
    QuarantineFileF('C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs','*.lnk', true,'',0 ,0);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
    RebootWindows(false);
    end.
     
    Все остальные пункты по порядку.
     
    Последнее редактирование: 28 дек 2014
Статус темы:
Закрыта.

Поделиться этой страницей