Решена Ноутбук Acer Aspire 3610 с зловредами

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Razey, 21 янв 2011.

Статус темы:
Закрыта.
  1. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    590
    Симпатии:
    31
    Друг попросил помочь с его стареньким Acer Aspire 3610. Т.к. только учусь лечению, прошу помочь; ноутбук обещал отдать завтра-послезавтра, но если сам буду заниматься, то не раньше чем через 5-7 дней...

    * На момент заражения был Windows XP SP2, пользовались в основном IE... Доставил SP3 и последние (с сервис пака и до декабря месяца) обновления, кое-что пролечил, отключил службы т.н. "ненужного" дома функционала (типа "Удаленный реестр" и т.д.)... В процессе работы RSIT выдал ошибку непонятную (воспроизвести не могу - если надо, могу снова его запустить принтскрин снять) со ссылкой на папку автозапуска и файл hosts (его проверил вручную - он в порядке). Также по логам понял, что до CIS стоял NOD32 и он не полностью удален...
     

    Вложения:

    • info.txt
      Размер файла:
      34,5 КБ
      Просмотров:
      3
    • log.txt
      Размер файла:
      31,6 КБ
      Просмотров:
      7
    • virusinfo_syscheck.zip
      Размер файла:
      22,3 КБ
      Просмотров:
      6
    • virusinfo_syscure.zip
      Размер файла:
      22,7 КБ
      Просмотров:
      8
  2. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
      QuarantineFile('C:\DOCUME~1\МАКС\LOCALS~1\Temp\oUltraf.sys','');
     BC_ImportQuarantineList;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.

    Полученный архив отправьте при помощи этой формы


    Доудалите Nod

    Скачайте Malwarebytes' Anti-Malware.

    - установите программу и обновите базы

    - После запуска программы выбирете пункт "Полное сканирование" и нажмите "Сканирование".

    - после окончания сканирования нажмите "ОК" => "Показать результаты". Выберите пункт "Сохранить отчет", сохраните файл который необходимо прикрепить к следующему своему сообщению.
     
    2 пользователям это понравилось.
  3. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    590
    Симпатии:
    31
    Архив выслал, Nod удалил, отчет прикрепляю...
     

    Вложения:

  4. zirreX
    Оффлайн

    zirreX Ассоциация VN

    Сообщения:
    739
    Симпатии:
    440
    Удалите все найденные объекты в MBAM.

    Добавлено через 2 минуты 25 секунд
    Обновите Adobe Reader до последней версии.
     
    2 пользователям это понравилось.
  5. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    590
    Симпатии:
    31
    Спасибо, готово! Что еще?
     
  6. Сашка
    Оффлайн

    Сашка Активный пользователь

    Сообщения:
    4.670
    Симпатии:
    2.650
    повторите лог mbam. Проблемы ещё остались?
     
    2 пользователям это понравилось.
  7. icotonev
    Оффлайн

    icotonev Ассоциация VN

    Сообщения:
    1.406
    Симпатии:
    1.643
    + Сашка,

    • Скачать OTL.exe и сохранить его на рабочем столе.
    • Запустите файл [​IMG] двойной щелчок мыши.
    • Сделайте следующие настройки:

    [​IMG]

    В [​IMG]с Copy / Paste, введите следующую информацию:

    Код (Text):
    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    /md5start
    eventlog.dll
    scecli.dll
    netlogon.dll
    cngaudit.dll
    sceclt.dll
    ntelogon.dll
    logevent.dll
    iaStor.sys
    nvstor.sys
    atapi.sys
    beep.sys
    IdeChnDr.sys
    viasraid.sys
    AGP440.sys
    vaxscsi.sys
    nvatabus.sys
    viamraid.sys
    nvata.sys
    nvgts.sys
    iastorv.sys
    ViPrt.sys
    eNetHook.dll
    ahcix86.sys
    ahcix86s.sys
    KR10N.sys
    nvstor32.sys
    nvrd32.sys
    explorer.exe
    svchost.exe
    userinit.exe
    symmpi.sys
    qmgr.dll
    ws2_32.dll
    proquota.exe
    imm32.dll
    kernel32.dll
    ndis.sys
    autochk.exe
    spoolsv.exe
    xmlprov.dll
    ntmssvc.dll
    mswsock.dll
    ntfs.sys
    tcpip.sys
    termsrv.dll
    sfcfiles.dll
    st3shark.sys
    srsvc.dll
    adp3132.sys
    mv61xx.sys
    /md5stop
    CREATERESTOREPOINT
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    %systemroot%\system32\drivers\*.sys /90
    • Нажмите на кнопку, выделенные синим цветом: [​IMG]
    • После завершения проверки, будут созданы два файла - OTL.Txt и Extras.Txt..Прикрепите их в следующий комментарий.
     
    2 пользователям это понравилось.
  8. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    590
    Симпатии:
    31
    MBAM ничего не нашел (лог прикрепил), проверку OTL сделал (логи тоже во вложении)...

    * icotonev, когда OTL запускал, у меня не было надписи Include 64bit Scans
     

    Вложения:

  9. icotonev
    Оффлайн

    icotonev Ассоциация VN

    Сообщения:
    1.406
    Симпатии:
    1.643
    Запустите снова OTL.exe и с Copy / Paste копировать в поле [​IMG] следующие скрипт:

    Код (Text):

    :OTL
    SRV - (hpqcxs08) --  File not found
    SRV - (AppMgmt) --  File not found
    O3 - HKU\S-1-5-21-1789229805-2496361212-2247140631-1005\..\Toolbar\WebBrowser: (Rambler-Ассистент) - {468CD8A9-7C25-45FA-969E-3D925C689DC4} -  File not found
    O4 - HKLM..\Run: [ISUSPM]  File not found
    O4 - HKLM..\Run: [UpdateReminder]  File not found
    O4 - HKU\S-1-5-21-1789229805-2496361212-2247140631-1005..\Run: [AtiTrayTools]  File not found
    O4 - HKU\S-1-5-21-1789229805-2496361212-2247140631-1005..\Run: [EvJOWall]  File not found
    O4 - HKU\S-1-5-21-1789229805-2496361212-2247140631-1005..\Run: [OM2_Monitor]  File not found
    O4 - Startup: C:\Documents and Settings\VALLU\Главное меню\Программы\Автозагрузка\_uninst_setup_9.0.0.722_24.01.2010_16-19.exe.lnk =  File not found
    O34 - HKLM BootExecute: (autocheck autochk *) -  File not found

    :files
    recycler /alldrives
    ipconfig /flushdns /c

    :Commands
    [purity]
    [resethosts]
    [clearallrestorepoints]
    [emptytemp]
    [emptyflash]
    [Reboot]
    После ввода скрипт нажмите кнопку отмечены красным цветом:[​IMG]
    Будет создан файл. Вставить в следующем комментарии.
     
    Последнее редактирование: 22 янв 2011
    4 пользователям это понравилось.
  10. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    590
    Симпатии:
    31
    Скрипт отработал, компьютер сам не перезагрузился (пришлось выключать питание), однако при последующей загрузке файл был создан - прилагаю во вложении...
     

    Вложения:

  11. icotonev
    Оффлайн

    icotonev Ассоциация VN

    Сообщения:
    1.406
    Симпатии:
    1.643
    Изменения какие-либо есть? :)
     
  12. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    590
    Симпатии:
    31
    На первый взгляд - никаких... Я так понимаю, это была чистка системы от ссылок на несуществующие файлы?

    Добавлено через 3 минуты 2 секунды
    Может пошустрее стала система грузиться... + вы еще папки временных каталогов "почистили"?

    Добавлено через 1 час 4 минуты 48 секунд
    Что дальше делать?
     
  13. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Если проблем нет, то запустите OTL и нажмите на кнопку CleanUp
     
    2 пользователям это понравилось.
  14. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    590
    Симпатии:
    31
    Выполнил... Жду дальнейших указаний... :)
     
  15. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Razey, так лечение завершено.
     
    2 пользователям это понравилось.
  16. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    590
    Симпатии:
    31
    Извините за незнание, а как присвоить теме статус "решено"?
     
    Последнее редактирование: 23 янв 2011
  17. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Это право модераторов после того, как пациент признает, что проблем больше нет.
     
    2 пользователям это понравилось.
Статус темы:
Закрыта.

Поделиться этой страницей