Решена Обращаюсь за помощью

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Denis, 5 авг 2009.

Статус темы:
Закрыта.
  1. Denis
    Оффлайн

    Denis Активный пользователь

    Сообщения:
    10
    Симпатии:
    0
    Здравствуйте!
    Обращаюсь к Вам за помощью.
    1.AVAST при каждом сканировании находил вирусы в памяти и не мог удалить
    2.Сканер доступа AVAST не запускался
    3.KAV сразу после установки не запускался

    Выполнение п.6 инструкции "Что нужно сделать перед запросом о помощи" проходило в безопасном режиме, т.к. avz.exe тоже не запускался, пока я его не переименовал.

    Спасибо!
     
  2. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.432
    Симпатии:
    13.941
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     SetServiceStart('ws2_32sik', 4);
     SetServiceStart('nicsk32', 4);
     SetServiceStart('netsik', 4);
     SetServiceStart('fips32cup', 4);
     SetServiceStart('amd64si', 4);
     SetServiceStart('acpi32', 4);
     SetServiceStart('BrowserVSS', 4);
     QuarantineFile('C:\Program Files\Common Files\Relive.dll','');
     QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
     QuarantineFile('C:\Program Files\Internet Explorer\msvcrt.dll','');
     QuarantineFile('C:\Documents and Settings\User\User.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\amd64si.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys','');
     QuarantineFile('C:\WINDOWS\system32\1025j.exe','');
     DeleteFile('C:\WINDOWS\system32\1025j.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys');
     DeleteFile('C:\Documents and Settings\User\User.exe');
     DeleteFile('C:\WINDOWS\system32\regedit.exe');
     DeleteFile('C:\Program Files\Common Files\Relive.dll');
     DelBHO('{D3626E66-B13B-C628-ACDF-BDABCFA265E1}');
     DeleteService('acpi32');
     DeleteService('netsik');
     DeleteService('nicsk32');
     DeleteService('ws2_32sik');
     DeleteService('fips32cup');
     DeleteService('amd64si');
     DeleteService('BrowserVSS');
     BC_ImportALL;
     ExecuteSysClean;
     BC_Activate;
     ExecuteRepair(9);
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.

    Полученный архив прикрепите к этой теме

    Повторите логи.
     
    2 пользователям это понравилось.
  3. Denis
    Оффлайн

    Denis Активный пользователь

    Сообщения:
    10
    Симпатии:
    0
    Большое спасибо!

    Уважаемый AkoK!
    Большое Вам спасибо за столь оперативный ответ и действенную помощь!

    Подскажите, нужно ли проверять другие ПК, с которыми вылеченная машина находится в сетке, если установленный на них AVAST работает нормально и при глубоком сканировании ничего не находит?

    Еще раз спасибо, Вы очень помогли!
     
  4. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.432
    Симпатии:
    13.941
    Можно проверить выборочно одну машину. Для уверенности.

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\Program Files\Internet Explorer\msvcrt.dll','');
     DeleteFile('C:\Program Files\Internet Explorer\msvcrt.dll');
     BC_ImportALL;
     ExecuteSysClean;
     BC_Activate;
     ExecuteRepair(19);
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.

    Полученный архив прикрепите к старой теме с карантином.

    Что то у вас еще нехорошое прячется.
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
     SetAVZPMStatus(true);
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Повторите логи.

    Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его.

    Acrobat 7.0 - нужно обновить да Acrobat 9.х



    Скачайте и распакуйте в отдельную папку - Registry Search (зеркало)

    Запустите утилиту.
    В верхнем окне, предназначенном для поиска введите fystemroot
    [​IMG]
    и нажмите кнопку "OK".
     
    2 пользователям это понравилось.
  5. Denis
    Оффлайн

    Denis Активный пользователь

    Сообщения:
    10
    Симпатии:
    0
    отчеты

    Уважаемый AkoK!
    Ваши рекомендации выполнили.
    Новый quarantine.zip прикрепил к старой теме с карантином.

    Не знаю, важно ли:
    1.RSIT файл info.txt не перезаписывает.
    2.Adobe Reader 7.0 "Справка-Проверить наличие обновлений..." ничего не показывает

    Спасибо Вам за помощь!
     
  6. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.432
    Симпатии:
    13.941
    Тут нужно деинсталяцию провести и скачать новую версию с сайта производителя.

    RegSearch.txt - теперь у вас есть перечень ключей которые изменены вредоносом.

    Необходимо изменить fystemroot => systemroot возможно прийдется востановить права на эти ветки реестра. Ознакомтесь с этой темой.

    Скопируйте нижеприведенный текст в блокнот и сохраните как cleanup.bat в папку, где находится gmer.exe
    Код (Text):
    gmer.exe -del service shelh
    gmer.exe -del file "C:\WINDOWS\system32\ojrcr.dll"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\shelh"
    gmer -reboot
    И запустите cleanup.bat

    Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
    - скачайте ATF Cleaner или с зеркала, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли
    - если вы используете Opera, нажмите Opera - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли

    Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

    1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
    2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
    Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe
    Подробнее можно прочитать в руководстве

    И повторите лог gmer. Сообщите о самочувствии "пациента".
     
    2 пользователям это понравилось.
  7. Denis
    Оффлайн

    Denis Активный пользователь

    Сообщения:
    10
    Симпатии:
    0
    Уважаемый AkoK!
    Спасибо Вам за помошь!
    Самочувствии "пациента" хорошее.
    1.Поясните, пожалуйста, указание "Необходимо изменить fystemroot => systemroot..."
    2.Остальные инструкции выполнены
    3.Почему-то не могу прикрепить лог gmer к ответу - "Ответить в теме-Дополнительные опции-Вложить файлы-Разрешённые типы файлов..." отсутствует кнопка "Управление вложениями", поэтому скопирую лог в сообщении:
    GMER 1.0.15.15011 [gmer.exe] - http://www.gmer.net
    Rootkit scan 2009-08-06 19:41:46
    Windows 5.1.2600 Service Pack 2


    ---- Kernel code sections - GMER 1.0.15 ----

    ? Combo-Fix.sys Не удается найти указанный файл. !
    ? C:\ComboFix\catchme.sys Системе не удается найти указанный путь. !
    ? C:\WINDOWS\system32\Drivers\PROCEXP90.SYS Не удается найти указанный файл. !

    ---- Registry - GMER 1.0.15 ----

    Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0L\0002\0T\0P\0) 1?
    Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0T\0P\0) 1?
    Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0P\0o\0E\0) 1?
    Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\37\4@\4O\4<\4>\49\4 \0?\0040\4@\0040\4;\4;\0045\4;\4L\4=\4K\49\4 \0?\4>\4@\4B\4 1?
    Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0I\0P\0) 1?
    Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0?\4;\0040\4=\48\4@\4>\0042\4I\48\4:\0040\4 \0?\0040\4:\0045\4B\4>\0042\4 1?2?
    Reg HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\Shares@\37\4@\48\4=\4B\0045\4@\4 CSCFlags=0?MaxUses=4294967295?Path=Microsoft Office Document Image Writer,LocalsplOnly?Permissions=0?Remark=Microsoft Office Document Image Writer?Type=1?
    Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0L\0002\0T\0P\0) 1?
    Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0T\0P\0) 1?
    Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0P\0o\0E\0) 1?
    Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\37\4@\4O\4<\4>\49\4 \0?\0040\4@\0040\4;\4;\0045\4;\4L\4=\4K\49\4 \0?\4>\4@\4B\4 1?
    Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0I\0P\0) 1?
    Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0?\4;\0040\4=\48\4@\4>\0042\4I\48\4:\0040\4 \0?\0040\4:\0045\4B\4>\0042\4 1?2?
    Reg HKLM\SYSTEM\ControlSet002\Services\lanmanserver\Shares@\37\4@\48\4=\4B\0045\4@\4 CSCFlags=0?MaxUses=4294967295?Path=Microsoft Office Document Image Writer,LocalsplOnly?Permissions=0?Remark=Microsoft Office Document Image Writer?Type=1?

    ---- EOF - GMER 1.0.15 ----
     
  8. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.432
    Симпатии:
    13.941
    Вредонос изменил стандартный путь файлов и теперь некоторые функции windows не работоспособны.
    Служба BITS и обновление системы.


    Хотелось бы видеть логи.


    Попробуйте почистить куки. Никаких ограничений на вложение вложений :) не вводилось. На скачивать логи могут только специалисты нашего ресурса.

    Если кнопка не появится, залейте логи на файлообменник и дайте нам ссылки.
     
    2 пользователям это понравилось.
  9. Denis
    Оффлайн

    Denis Активный пользователь

    Сообщения:
    10
    Симпатии:
    0
    Уважаемый AkoK!
    Удаление куков помогло.
    Вот последнии логи:
     
  10. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.432
    Симпатии:
    13.941
    Не вижу ничего вредоносного.

    Я заметил. что Вы запускали ComboFix. Если не сложно дайте лог (ComboFix.txt). Он находиться в корне системного диска.

    Удалим следы утилит которыми мы проводили лечение. :)

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
     ExecuteStdScr(6);
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.


    Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /u, нажмите кнопку "ОК"
    [​IMG]

    Скачайте OTCleanIt, запустите, нажмите Clean up
     
    2 пользователям это понравилось.
  11. Denis
    Оффлайн

    Denis Активный пользователь

    Сообщения:
    10
    Симпатии:
    0
    Уважаемый AkoK!
    Спасибо Вам за помощь!
    Какие конкретные действия мне необходимо предпринять, что бы выполнить Вашу рекомендацию:
    С указанной Вами темой ознакомился.

    Лог ComboFix прилагаю.
     
  12. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.432
    Симпатии:
    13.941
    Denis, нужно закрыть порт.

    Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.
    Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
    временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
    Код (Text):

    :Processes
    explorer.exe

    :Services

    :Files

    :Reg
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "2988:TCP"=-
    :Commands
    [purity]
    [emptytemp]
    [start explorer]
    [Reboot]
     
    В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.
    Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
     
    2 пользователям это понравилось.
  13. Denis
    Оффлайн

    Denis Активный пользователь

    Сообщения:
    10
    Симпатии:
    0
    Лог OTM

    All processes killed
    ========== PROCESSES ==========
    No active process named explorer.exe was found!
    ========== SERVICES/DRIVERS ==========
    ========== FILES ==========
    ========== REGISTRY ==========
    Registry key HKEY_LOCAL_MACHINE\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List not found.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: All Users

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 67 bytes

    User: LocalService
    File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temp\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
    File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temp\History\History.IE5\index.dat scheduled to be deleted on reboot.
    File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temp\Cookies\index.dat scheduled to be deleted on reboot.
    ->Temp folder emptied: 65984 bytes
    File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
    ->Temporary Internet Files folder emptied: 32902 bytes

    User: NetworkService
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 67 bytes

    User: User
    ->Temp folder emptied: 400110 bytes
    File delete failed. C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
    ->Temporary Internet Files folder emptied: 2806565 bytes
    ->Java cache emptied: 2816183 bytes
    ->FireFox cache emptied: 58865621 bytes

    User: user2
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 67 bytes

    User: Администратор
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 67 bytes

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 2114294 bytes
    %systemroot%\System32 .tmp files removed: 5709 bytes
    File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_56c.dat scheduled to be deleted on reboot.
    Windows Temp folder emptied: 65536 bytes
    RecycleBin emptied: 0 bytes

    Total Files Cleaned = 64,06 mb


    OTM by OldTimer - Version 3.0.0.5 log created on 08072009_134535

    Files moved on Reboot...
    File move failed. C:\WINDOWS\temp\Perflib_Perfdata_56c.dat scheduled to be moved on reboot.

    Registry entries deleted on Reboot...
     
  14. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.432
    Симпатии:
    13.941
    Значит закрыто все.
     
    2 пользователям это понравилось.
  15. ТроПа
    Оффлайн

    ТроПа Активный пользователь

    Сообщения:
    399
    Симпатии:
    738
    [INFO]Сообщения со вторым компьютером выделны в другую тему[/INFO]
     
Статус темы:
Закрыта.

Поделиться этой страницей