Решена Очень прошу помощи - словил вирус с сайта kak-gde

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Alfar, 18 авг 2010.

Статус темы:
Закрыта.
  1. Alfar
    Оффлайн

    Alfar Активный пользователь

    Сообщения:
    24
    Симпатии:
    6
    Не помню - то ли .ру, то ли .ком. Открыл его - комп сразу завис, помог только ребут с кнопки.

    Щас не открывается антивирус Аваст, не обновляется AVZ, не отрывается поисковик Гугл и еще ряд сайтов.

    Очень прошу помощи, так как моя почта на gmail. Очень нужна, а открыть не могу. И вообще очень не нравится мне все происходящее.

    Все выполняю, как описано в правилах. Времянки очистил, все программы закрыл. Логи прилагаю.

    Пожалуйста, помогите:(
     

    Вложения:

    • virusinfo_syscure.zip
      Размер файла:
      31,7 КБ
      Просмотров:
      5
    • virusinfo_syscheck.zip
      Размер файла:
      31 КБ
      Просмотров:
      0
    • info.txt
      Размер файла:
      32,1 КБ
      Просмотров:
      2
    • log.txt
      Размер файла:
      36,7 КБ
      Просмотров:
      3
  2. Arbitr
    Оффлайн

    Arbitr Ассоциация VN

    Сообщения:
    3.604
    Симпатии:
    2.317
    Обновите базы AVZ
    Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
    Код (Text):

    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');
     QuarantineFile('\\?\globalroot\systemroot\system32\VbRkhIe.exe','');
     QuarantineFile('\\?\globalroot\systemroot\system32\LzGt0Sd.exe','');
     QuarantineFile('\\?\globalroot\systemroot\system32\L0DvQ7N.exe','');
     QuarantineFile('\\?\globalroot\systemroot\system32\AOWAMl0.exe','');
     QuarantineFile('\\?\globalroot\systemroot\system32\5zQ8V8r.exe','');
     QuarantineFile('\\?\globalroot\systemroot\system32\0HUjbAy.exe','');
     QuarantineFile('C:\WINDOWS\system32\onxvrl.exe','');
     DeleteFile('C:\WINDOWS\system32\onxvrl.exe');
     DeleteFile('\\?\globalroot\systemroot\system32\0HUjbAy.exe');
     DeleteFile('\\?\globalroot\systemroot\system32\5zQ8V8r.exe');
     DeleteFile('\\?\globalroot\systemroot\system32\AOWAMl0.exe');
     DeleteFile('\\?\globalroot\systemroot\system32\L0DvQ7N.exe');
     DeleteFile('\\?\globalroot\systemroot\system32\LzGt0Sd.exe');
     DeleteFile('\\?\globalroot\systemroot\system32\VbRkhIe.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(20);
    RebootWindows(true);
    end.
     
    После всех процедур выполните скрипт
    Код (Text):

    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
     
    В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.
    Загрузите GMER по одной из указанных ссылок
    Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
    Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
    Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
    После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
    • Sections
    • IAT/EAT
    • Show all
    Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
    Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
    После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

    опять не успел((
     
    Последнее редактирование: 18 авг 2010
    4 пользователям это понравилось.
  3. Alfar
    Оффлайн

    Alfar Активный пользователь

    Сообщения:
    24
    Симпатии:
    6
    Большое спасибо!

    Базы AVZ я обновить не могу:(Не идет обновление, полагаю, по этим же самым причинам, что и антивирус не грузится, и Гугл не открывается.

    Щас буду пробовать все сделать так, как Вы написали!
     
  4. Arbitr
    Оффлайн

    Arbitr Ассоциация VN

    Сообщения:
    3.604
    Симпатии:
    2.317
    обновите базы после выполенния скрипта
     
    2 пользователям это понравилось.
  5. Alfar
    Оффлайн

    Alfar Активный пользователь

    Сообщения:
    24
    Симпатии:
    6
    Огромное спасибо! Базы после выполнения вышеуказанного Вами скрипта обновились:yess:

    А в форме запроса в вирусную лабораторию имеет какое-то значение тип запроса, который надо выбрать из списка? Я выбрал "запрос на описание вредоносной программы".

    GMER запускал, но проверка до конца не доходит. Примерно через 2-3 секунды выскакивает сообщение "t8tfqrz6.exe - обнаружена ошибка. Приложение будет закрыто".

    Если запустить из архива, то выскакивает "gmer.exe - обнаружена ошибка. Приложение будет закрыто".

    Что делать, профессор? (((((
     
    Последнее редактирование: 18 авг 2010
  6. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    "Исследование вредоносного файла".
     
    2 пользователям это понравилось.
  7. Alfar
    Оффлайн

    Alfar Активный пользователь

    Сообщения:
    24
    Симпатии:
    6
    Еще раз послать с уже корректным запросом?

    Пришел ответ от робота:

    Здравствуйте,

    Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

    a2hooks32.dll

    Файл в процессе обработки.

    onxvrl.exe - Backdoor.Win32.Shiz.rc

    В настоящий момент этот файл определяется антивирусом со свежими антивирусными базами.

    С уважением, Лаборатория Касперского


    На данный момент после выполнения скрипта Гугл стал открываться - почту за неделю наконец-то скачал, но Аваст так и не работает.
     
  8. Arbitr
    Оффлайн

    Arbitr Ассоциация VN

    Сообщения:
    3.604
    Симпатии:
    2.317
    удалите вручную
    C:\WINDOWS\system32\fjhdyfhsn.bat

    Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в блокнот и выложите в сообщение.
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
    как подсказывает thyrex Подозрение на маскировку ключа реестра службы\драйвера "obvious"
    от эмулятора дисков
     
    Последнее редактирование: 18 авг 2010
    2 пользователям это понравилось.
  9. Alfar
    Оффлайн

    Alfar Активный пользователь

    Сообщения:
    24
    Симпатии:
    6
    Готово!:)

    Что делать с найденными инфицированными объектами? Удалять пока не буду, подожду Ваших указаний!
     

    Вложения:

    Последнее редактирование: 19 авг 2010
  10. Arbitr
    Оффлайн

    Arbitr Ассоциация VN

    Сообщения:
    3.604
    Симпатии:
    2.317
    удаляйте все кроме C:\Documents and Settings\Арт.ALFAR\Рабочий стол\Инсталлеры - архивы\Denwer3_Base_PHP52_2010-03-18_a2.2.4_p5.2.12_zendoptimizer_m5.1.40_pma3.2.3.exe (Rogue.Installer)
    далее Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
    2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
    далее чкачайте и установите exlorer 8 даже если вы им и не пользуетесь,
    повторите плиз логи AVZ и прошу лог RSIT
    что с проблемой?
     
    2 пользователям это понравилось.
  11. Alfar
    Оффлайн

    Alfar Активный пользователь

    Сообщения:
    24
    Симпатии:
    6
    Все сделал так, как Вы написали.

    С Авастом все-таки творилось что-то странное - расклинить его я так и не смог. Снес Рево Анинсталлером его ко всем чертям, щас прогнал АВЗ и РСИТ, потом буду ставить Касперского. Интернет Секьюрити который.

    Быстродействие компьютера существенно увеличилось - грузится моментально, реагирует на клики мгновенно:) Я уж и забыл когда он так работал:) Все сайты стали открываться :yess: Ошибок больше ни одна программа больше вроде не находит:)

    Новые логи прикладываю.

    Люди, что это было-то у меня все-таки? Можно как-то уберечься на будущее от таких напастей?
     

    Вложения:

    • virusinfo_syscheck.zip
      Размер файла:
      24,7 КБ
      Просмотров:
      0
    • virusinfo_syscure.zip
      Размер файла:
      24,9 КБ
      Просмотров:
      3
    • info.txt
      Размер файла:
      31,9 КБ
      Просмотров:
      1
    • log.txt
      Размер файла:
      35,2 КБ
      Просмотров:
      3
  12. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Symantec давно стоит?

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\emfxp.dll','');
     QuarantineFile('C:\WINDOWS\system32\htelib.dll','');
     DeleteFile('C:\WINDOWS\system32\htelib.dll');
     DelBHO('{A5680ED5-1300-45C0-8956-BC1EEA2F2B7D}');
     BC_ImportALL;
      ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.

    Полученный архив необходимо загрузить при помощи этой формы:
    1. Выберите тип запроса "неизвестная вредоносная программа" и введите изображенное на картинке число, нажмите "Далее".
    2. В окне "Подробное описание возникшей ситуации" наберите "Пароль: virus".
    3. Прикрепите файл карантина и нажмите "Далее".
    4. Если размер карантина превышает 1,5 мб, то карантин отправьте по адресу newvirus@kaspersky.com

    Подготовьте расширенный лог Vba32 AntiRootkit.
     
    2 пользователям это понравилось.
  13. Alfar
    Оффлайн

    Alfar Активный пользователь

    Сообщения:
    24
    Симпатии:
    6
    Стоял раньше, где-то полгода назад. После него стоял Аваст, который я вчера снес.

    А что, это от Симантека следы остались в системе, которые мешают жить?

    Оказывается, это еще не конец...:(:(:( Делаю все описанное Вами.

    Сделал.
     

    Вложения:

    Последнее редактирование: 19 авг 2010
  14. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    2 пользователям это понравилось.
  15. Alfar
    Оффлайн

    Alfar Активный пользователь

    Сообщения:
    24
    Симпатии:
    6
    Большое спасибо, удаление выполнил, правда, после первой перезагрузки почему-то открылся Интернет Эксплорер, который подвесил всю систему. Второй ребут помог, щас вроде нормально.

    Логи ВБА переделывать?
     
  16. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    делать.
     
  17. Alfar
    Оффлайн

    Alfar Активный пользователь

    Сообщения:
    24
    Симпатии:
    6
    Переделал.
     

    Вложения:

    Последнее редактирование: 19 авг 2010
  18. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    2 пользователям это понравилось.
  19. Alfar
    Оффлайн

    Alfar Активный пользователь

    Сообщения:
    24
    Симпатии:
    6
    Прошу прощения, но такого файла не нашел не только в указанной директории, но и вообще на компьютере.

    Самочувствие больного в норме!:) Рецидивов не наблюдается.

    Огромное спасибо всем!!! На днях поддержу проект копеечкой - без этого сервиса не жить нам всем:):yess:
     
  20. Arbitr
    Оффлайн

    Arbitr Ассоциация VN

    Сообщения:
    3.604
    Симпатии:
    2.317
    все нормально.
    будем очень благодарны))
     
Статус темы:
Закрыта.

Поделиться этой страницей