Решена Подозреваю вирусы

Тема в разделе "Лечение компьютерных вирусов", создана пользователем oleg7, 9 ноя 2011.

Статус темы:
Закрыта.
  1. oleg7
    Оффлайн

    oleg7 Активный пользователь

    Сообщения:
    112
    Симпатии:
    4
    Вчера товарищ принес ноутбук и попросил почистить.Стоял антивирус Microsoft не обновленный.Обновил,просканировал-ничего.Удалил.Mbam обновил,запустил-ничего.Запустил дефрагментатор-35% фрагментировано,20% свободного места.В карантине Mbam было три вируса-удалил.Хотел сделать логи AVZ, во время сканирования AVZ исчезает.Запустил Kasprsky live CD в текстовом режиме нашел еще вирус связанный с порно.Ноутбук работал от батареи внезапно выключился.Второй раз запустил в графическом не дало просканировать.Скачал Dr.Web Gurelt после полного сканирования вирус спутник Mайлру-удалил.Компьютер ожил.Скачал Хиджак,почистил файл Host,сделал лог,проанализировал.Теперь боюсь сам предпринимать какие либо действия-много "файл отсутствует".Подскажите,пожалуйста,дальнейшие действия.Сейчас сделаю логи AVZ.
     

    Вложения:

  2. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.837
    Симпатии:
    8.590
    Сделайте лог uVS +

    Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

    1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
    2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
    Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

    Подробнее в "ComboFix. Руководство по применению."
     
    1 человеку нравится это.
  3. oleg7
    Оффлайн

    oleg7 Активный пользователь

    Сообщения:
    112
    Симпатии:
    4
    Сейчас Combofix сделаю.
     

    Вложения:

  4. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.837
    Симпатии:
    8.590
    Подготовьте установочный диск Windows 7 SP1 (64bit), вставьте его в дисковод и выполните следующий скрипт в uVS:

    Код (Text):
    ;uVS v3.71 script [http://dsrt.dyndns.org]

    delref HTTP://WEBALTA.RU
    delref HTTP://WEBALTA.RU/POISK
    sfcall
     
    1 человеку нравится это.
  5. oleg7
    Оффлайн

    oleg7 Активный пользователь

    Сообщения:
    112
    Симпатии:
    4
    Установочного диска нет.:(
     

    Вложения:

    • log.txt
      Размер файла:
      10,8 КБ
      Просмотров:
      2
  6. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.837
    Симпатии:
    8.590
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код (Text):

    KillAll::

    RegLock::
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
    Reboot::
     
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
    [​IMG]
    Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

    Придется поискать, поскольку активного заражения не видно, но видно много отсутствующих файлов - возможно было заражение файловым вирусом, а MSE все отправил в карантин или удалил.

    Можно попробовать и без диска скрипт запустить, может кэш для восстановления где и сохранился.
     
    1 человеку нравится это.
  7. oleg7
    Оффлайн

    oleg7 Активный пользователь

    Сообщения:
    112
    Симпатии:
    4
    Cейчас выполню без диска.:mda:
     

    Вложения:

  8. oleg7
    Оффлайн

    oleg7 Активный пользователь

    Сообщения:
    112
    Симпатии:
    4
    2011.11.09 10:29
    2011.11.09 08:29 (UTC)
    --------------------------------------------------------
    SeDebug привилегии получены
    SeRestore привилегии получены
    SeBackup привилегии получены
    SeShutdown привилегии получены
    SeTakeOwnership привилегии получены
    SeLoadDriver привилегии получены
    SeManageVolume привилегии получены
    SeSecurity привилегии получены
    SeTcb привилегии получены
    SeImpersonate привилегии получены
    SeAssignPrimaryToken привилегии получены
    SeCreateTokenPrivilege привилегии получены
    SeIncreaseQuotaPrivilege привилегии получены
    --------------------------------------------------------
    Сигнатур в базе: 0
    Загружено поисковых критериев: 0
    --------------------------------------------------------
    uVS v3.71: Windows 7 Ultimate x64 (NT v6.1) build 7601 Service Pack 1 [C:\WINDOWS]
    Свободно физической памяти 3079Mb из 4094Mb
    Свободно на системном диске: 6,3GB
    Boot: Normal
    --------------------------------------------------------
    Internet Explorer v9.0.8112.16421
    --------------------------------------------------------
    Текущий пользователь: Юрий-ПК\Юрий
    uVS запущен под пользователем: Юрий-ПК\Юрий
    Имя компьютера: ЮРИЙ-ПК
    --------------------------------------------------------
    HOSTS:
    C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS
    127.0.0.1 localhost
    Всего: 1
    --------------------------------------------------------
    Persistent routes:
    Всего: 0
    --------------------------------------------------------
    Загружено реестров пользователей: 2
    Построение списка процессов и модулей...
    Анализ автозапуска...
    Построение списка системных модулей и драйверов...
    VBR NTFS [C:]: Неизвестный загрузчик SHA1: A65563E3D994272197E22FC1C63418D61F3CBA08
    IPL NTFS [C:]: Неизвестный загрузчик SHA1: 1822DD5ECD50527D15DA57881AEF4A2753079565
    VBR NTFS [E:]: Неизвестный загрузчик SHA1: A65563E3D994272197E22FC1C63418D61F3CBA08
    IPL NTFS [E:]: Неизвестный загрузчик SHA1: 1822DD5ECD50527D15DA57881AEF4A2753079565
    VBR NTFS [F:]: Неизвестный загрузчик SHA1: A65563E3D994272197E22FC1C63418D61F3CBA08
    IPL NTFS [F:]: Неизвестный загрузчик SHA1: 1822DD5ECD50527D15DA57881AEF4A2753079565
    MBR#0 [232,9GB]: Неизвестный загрузчик SHA1: 4379A3D43019B46FA357F7DD6A53B45A3CA8FB79
    Анализ файлов в списке...
    Файл не найден: C:\WINDOWS\SYSWOW64\COMPMGMTLAUNCHER.EXE
    Файл не найден: C:\WINDOWS\SYSTEM32\NTVDM.EXE
    Файл не найден: C:\WINDOWS\SYSTEM32\PSXSS.EXE
    Файл не найден: LOGON.SCR
    Файл не найден: C:\WINDOWS\SYSTEM32\DRIVERS\DUMP_DUMPATA.SYS
    Файл не найден: C:\WINDOWS\SYSTEM32\DRIVERS\DUMP_ATAPI.SYS
    Файл не найден: C:\WINDOWS\SYSTEM32\DRIVERS\DUMP_DUMPFVE.SYS
    Файл не найден: C:\WINDOWS\SYSTEM32\DRIVERS\PROCEXP113.SYS
    Анализ завершен.
    Список готов.
    ======= Начало исполнения скрипта =======
    --------------------------------------------------------
    delref HTTP://WEBALTA.RU
    --------------------------------------------------------
    Удаление ссылок на файл: HTTP://WEBALTA.RU
    Изменено/удалено объектов автозапуска 5 из 5 | Удалено файлов: 0 из 0
    --------------------------------------------------------
    delref HTTP://WEBALTA.RU/POISK
    --------------------------------------------------------
    Удаление ссылок на файл: HTTP://WEBALTA.RU/POISK
    Изменено/удалено объектов автозапуска 5 из 5 | Удалено файлов: 0 из 0
    --------------------------------------------------------
    sfcall
    --------------------------------------------------------
    ======= Конец исполнения скрипта =======
    Построение списка процессов и модулей...
    Анализ автозапуска...
    Построение списка системных модулей и драйверов...
    VBR NTFS [C:]: Неизвестный загрузчик SHA1: A65563E3D994272197E22FC1C63418D61F3CBA08
    IPL NTFS [C:]: Неизвестный загрузчик SHA1: 1822DD5ECD50527D15DA57881AEF4A2753079565
    VBR NTFS [E:]: Неизвестный загрузчик SHA1: A65563E3D994272197E22FC1C63418D61F3CBA08
    IPL NTFS [E:]: Неизвестный загрузчик SHA1: 1822DD5ECD50527D15DA57881AEF4A2753079565
    VBR NTFS [F:]: Неизвестный загрузчик SHA1: A65563E3D994272197E22FC1C63418D61F3CBA08
    IPL NTFS [F:]: Неизвестный загрузчик SHA1: 1822DD5ECD50527D15DA57881AEF4A2753079565
    MBR#0 [232,9GB]: Неизвестный загрузчик SHA1: 4379A3D43019B46FA357F7DD6A53B45A3CA8FB79
    Анализ файлов в списке...
    Файл не найден: C:\WINDOWS\SYSWOW64\COMPMGMTLAUNCHER.EXE
    Файл не найден: C:\WINDOWS\SYSTEM32\NTVDM.EXE
    Файл не найден: C:\WINDOWS\SYSTEM32\PSXSS.EXE
    Файл не найден: LOGON.SCR
    Файл не найден: C:\WINDOWS\SYSTEM32\DRIVERS\DUMP_DUMPATA.SYS
    Файл не найден: C:\WINDOWS\SYSTEM32\DRIVERS\DUMP_ATAPI.SYS
    Файл не найден: C:\WINDOWS\SYSTEM32\DRIVERS\DUMP_DUMPFVE.SYS
    Файл не найден: C:\WINDOWS\SYSTEM32\DRIVERS\PROCEXP113.SYS
    Анализ завершен.
    Список готов.
    --------------------------------------------------------
    Проверка списка...
    --------------------------------------------------------
    Не удалось открыть файл: C:\PROGRAM FILES (X86)\SKYPE\\PHONE\SKYPE.EXE
    Проверено файлов: 1279
    Найдено вирусов: 0
    Список готов.
     
  9. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.837
    Симпатии:
    8.590
    Есть изменения?
     
    1 человеку нравится это.
  10. oleg7
    Оффлайн

    oleg7 Активный пользователь

    Сообщения:
    112
    Симпатии:
    4
    Пока значительных нет.Запустил Ccleaner -стирание только свободное место.Выдает:"не достаточно места на диске.На диске :\осталось 1МБ свободного места...чтобы освободить место на диске за счет удаления неиспользуемых программ,откройте "Программы и компоненты"
    Но в "программах и компонентах" наверное и 1гигабайт нет.На этом ноутбуке можно удалять все что мешает работе.Помогите,пожалуйста.

    Добавлено через 3 часа 31 минуту 46 секунд
    Также,при выполнении скрипта№1 AVZ исчезает.Языковая панель переключается shift+alt.Может установить пока антивирус?
     
  11. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.837
    Симпатии:
    8.590
    Эта функция записывает в свободное пространство диска нули, больше имеет отношение к безвозвратному удалению файлов чем к очистке диска от мусора.

    Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
    1. скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    2. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    3. нажмите No, если вы хотите оставить ваши сохраненные пароли
    4. если вы используете Opera, нажмите Opera - Select All - Empty Selected
    5. нажмите No, если вы хотите оставить ваши сохраненные пароли

    Очистите ранее созданную точку восстановления и создать новую:
    1. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
    2. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить

    Это какого? Если этого:

    - то вполне вероятны вылеты на x64.

    Конечно установите!..
     
    1 человеку нравится это.
  12. oleg7
    Оффлайн

    oleg7 Активный пользователь

    Сообщения:
    112
    Симпатии:
    4
  13. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.837
    Симпатии:
    8.590
  14. oleg7
    Оффлайн

    oleg7 Активный пользователь

    Сообщения:
    112
    Симпатии:
    4
    Установил Avast.При экспресс-сканировании обнаружен 1 зараженный файл.Удалил остатки avptool.
     
  15. oleg7
    Оффлайн

    oleg7 Активный пользователь

    Сообщения:
    112
    Симпатии:
    4
    Извините,забыл.:sorry:
     

    Вложения:

    • log.txt
      Размер файла:
      35,1 КБ
      Просмотров:
      2
    • info.txt
      Размер файла:
      13 КБ
      Просмотров:
      1
  16. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.837
    Симпатии:
    8.590
    Подозрительного не видно.

    Ключ реестра

    Код (Text):
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCHDPlayer]
    - удалите вручную.

    Обновите Adobe Flash Player и Adobe Reader до актуальных версий.
     
    1 человеку нравится это.
  17. oleg7
    Оффлайн

    oleg7 Активный пользователь

    Сообщения:
    112
    Симпатии:
    4
    Не удалилась папка Qoobox.Закачал Combofix еще раз-не удаляется (Combofix /Unistall)
     
  18. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.432
    Симпатии:
    13.941
    Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

    Утилита почистит сама
     
    1 человеку нравится это.
  19. oleg7
    Оффлайн

    oleg7 Активный пользователь

    Сообщения:
    112
    Симпатии:
    4
    Подскажите,пожалуйста,можно ли на этом ноутбуке диск С c диском F поменять местами,так как диск С 31ГБ,а диск F 100ГБ без переустановки системы,а если только с переустановкой то тоже как?:confused:
     
  20. oleg7
    Оффлайн

    oleg7 Активный пользователь

    Сообщения:
    112
    Симпатии:
    4
    Языковая панель переключается shift+alt.Не удаляется папка Qoobox.
     
Статус темы:
Закрыта.

Поделиться этой страницей