Решена Помогите, пожалуйста.

Тема в разделе "Лечение компьютерных вирусов", создана пользователем May-ya, 5 май 2012.

Статус темы:
Закрыта.
  1. May-ya
    Оффлайн

    May-ya Активный пользователь

    Сообщения:
    68
    Симпатии:
    12
  2. Ботан
    Оффлайн

    Ботан Злостный спам-бот

    Сообщения:
    1.092
    Симпатии:
    194
    Приветствую May-ya, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
    __________________________________________________

    Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
    • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
    Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.


    __________________________________________________
    С уважением, администрация SafeZone.
     
  3. icotonev
    Оффлайн

    icotonev Ассоциация VN

    Сообщения:
    1.405
    Симпатии:
    1.641
    Здравствуйте..!

    Отключите временно:
    Антивирус/Файерволл

    Скрипт AVZ.
    Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
    Код (Text):

    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     QuarantineFile('C:\Documents and Settings\ASUS\Главное меню\Программы\Автозагрузка\gJUb6C6ZPvk.exe','');
     DeleteFile('C:\Documents and Settings\ASUS\Главное меню\Программы\Автозагрузка\gJUb6C6ZPvk.exe');
     ExecuteSysClean;
     BC_Activate;
     ExecuteWizard('SCU',2,3,true);
     RebootWindows(true);
    end.
     
    После всех процедур выполните скрипт
    Код (Text):

    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
     
    В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через этой формы

    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

    Пожалуйста, подготовить новые логи с АВЗ и RSIT...!!!
     
    1 человеку нравится это.
  4. May-ya
    Оффлайн

    May-ya Активный пользователь

    Сообщения:
    68
    Симпатии:
    12
    Ботан, спасибо за предупреждение. Я не могу воспользоваться программой RSIT, поэтому прикрепила лог HiJackThis - это, вроде бы, не возбраняется Правилами? )

    Добавлено через 4 минуты 33 секунды
    icotonev, ок, попробую после работы воспользоваться вашими советами. Спасибо, что откликнулись!
     
  5. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.040
    Симпатии:
    4.479
    Почему не можете? При вашем заражении Rsit наиболее информативен.
     
  6. May-ya
    Оффлайн

    May-ya Активный пользователь

    Сообщения:
    68
    Симпатии:
    12
    shestale, временно не могу. Проблема на домашнем компе, а я на работе. Логи сделала до того, как прочитала здешние Правила.

    Добавлено через 1 час 23 минуты 55 секунд
    Только сейчас пришло в голову: как же я скачаю и установлю RSIT и прочие антивири на свой комп, если у меня не работает браузер? Я ж не могу в инет попасть... А на внешний диск эти проги, по-моему, не копируются. Как быть?
     
  7. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.040
    Симпатии:
    4.479
    Почему-же, все можно загрузить и перенести на зараженную машину...пробуйте.
     
  8. May-ya
    Оффлайн

    May-ya Активный пользователь

    Сообщения:
    68
    Симпатии:
    12
  9. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    Здравствуйте!

    Отключите антивирус/фаервол, интернет;

    Выполните скрипт в AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код (Text):

    begin
     ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\cpadvai.dll','');
     QuarantineFile('C:\WINDOWS\sm56hlpr.exe','');
     QuarantineFile('F:\autorun.inf','');
     QuarantineFile('C:\WINDOWS\DOWNLO~1\HTTPFile.dll','');
     QuarantineFile('csovmrit.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\csovmrit.sys','');    
     QuarantineFile('C:\DOCUME~1\ASUS\LOCALS~1\Temp\sggtkfx.exe','');
     QuarantineFile('%LocalSettings%\Temp\bwdzwkl','');
     QuarantineFile('C:\plg.txt','');
     QuarantineFileF('C:\jdNzGcbp708judV','*', true,'',0 ,0);
     QuarantineFileF('C:\Documents and Settings\ASUS\Application Data\9vO3wAguztZA40u','*', true,'',0 ,0);
     QuarantineFileF('C:\Documents and Settings\ASUS\Application Data\jdNzGcbp708judV','*', true,'',0 ,0);
     DeleteFile('C:\DOCUME~1\ASUS\LOCALS~1\Temp\sggtkfx.exe');
     DeleteFile('%LocalSettings%\Temp\bwdzwkl');
     DeleteFile('C:\plg.txt');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','AdobeFlash');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','hosts');
     DeleteFileMask('C:\jdNzGcbp708judV', '*', true);
     DeleteFileMask('C:\Documents and Settings\ASUS\Application Data\9vO3wAguztZA40u', '*', true);
     DeleteFileMask('C:\Documents and Settings\ASUS\Application Data\jdNzGcbp708judV', '*', true);
     DeleteDirectory('C:\jdNzGcbp708judV',' ');
     DeleteDirectory('C:\Documents and Settings\ASUS\Application Data\9vO3wAguztZA40u',' ');
     DeleteDirectory('C:\Documents and Settings\ASUS\Application Data\jdNzGcbp708judV',' ');
     ExecuteWizard('SCU',2,3,true);
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
     
    после выполнения скрипта компьютер перезагрузится.
    после перезагрузки выполнить второй скрипт:

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

    Сделайте новые логи virusinfo_syscheck.zip; log.txt, info.txt.

    Удалите в MBAM только:

    Код (Text):
    C:\Documents and Settings\ASUS\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
    C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.
    сделайте повторный лог полного сканирования MBAM.

    -------------------
    +
    1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
    2. Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:
      Код (Text):
      tdsskiller.exe -silent -qmbr -qboot
    3. Запустите файл fix.bat;
    4. Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine;
    5. Заархивруйте эту папку с паролем virus. И отправьте полученный архив на адрес quarantine<at>safezone.cc (at=@), в заголовке (теме) письма укажите ссылку на тему, где Вам оказывается помощь.
    6. Запустите файл TDSSKiller.exe;
    7. Нажмите кнопку "Начать проверку";
    8. В процессе проверки могут быть обнаружены объекты двух типов:
      • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
      • подозрительные (тип вредоносного воздействия точно установить невозможно).
    9. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
    10. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
    11. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
    12. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
    13. Прикрепите лог утилиты к своему следующему сообщению
    По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
    Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
    Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

    --------------
    смените все пароли ! по окончанию лечения смените ещё раз.
     
    Последнее редактирование модератором: 6 май 2012
    1 человеку нравится это.
  10. May-ya
    Оффлайн

    May-ya Активный пользователь

    Сообщения:
    68
    Симпатии:
    12
    Прошу прощенья, я не понимаю, как это сделать. Где я должна увидеть этот код?
    Буду очень благодарна за более подробную инструкцию.
    Остальное попробую сейчас выполнить.

    Добавлено через 10 минут 53 секунды
    И еще тоже поясните, пжлс:
    Может, глупый вопрос, но все же... :) Касается ли совет только моих паролей для почты или аккаунтов? Или пароли нужно менять всем моим друзьям и родственникам когда-либо пользовавшимся моим компом? Насколько серьезна угроза? и на этом сайте нужно менять пароль?
     
  11. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.594
    Повторите сканирование в MBAM поставьте галочки напротив указанных строк и нажмите кнопку удалить.


    Если не применялись чистки кэша IE, то все данные, куки и сохраненные пароли могли попасть к злоумушленникам
     
    1 человеку нравится это.
  12. May-ya
    Оффлайн

    May-ya Активный пользователь

    Сообщения:
    68
    Симпатии:
    12
    regist, не могу выполнить скрипт в АВЗ. Вышло сообщение: Ошибка ,), expected в позиции 29:16.
    (не нашла на своей клавиатуре апостроф - в сообщении были они рядом со скобкой, а не запятые, сорри)

    Добавлено через 14 минут 21 секунду
    Я периодически чистила ATF-Cleaner(ом), не ежедневно, конечно, - 1-2 раза в месяц. Пароли для автоматического входа в аккаунты я не сохраняю, обычно ввожу их вручную. Этого не достаточно?
     
  13. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.594
    Скрипт подправил выполняйте
     
    2 пользователям это понравилось.
  14. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    после того как пользовались аккаунтом кнопку выход нажимаете ? если нет, то пароль сохраняется в куках и мог быть попасть к злоумышленникам. Для профилактики рекомендую сменить пароли в любом случае.
     
    1 человеку нравится это.
  15. May-ya
    Оффлайн

    May-ya Активный пользователь

    Сообщения:
    68
    Симпатии:
    12
    Я сделала полное сканирование, после него появилось окно с текстовым файлом - лог. И сообщение, что вирусов не обнаружено. Больше ничего, никаких реестров с окошечками.
    Когда я сканировала этой программой вчера, у меня было окно Показать результаты, а сегодня даже его не было. Где мне искать строки, которые нужно удалить?

    Добавлено через 3 минуты 38 секунд
    Не всегда, но стараюсь. В Фейсбуке, например, нет такой кнопки.
    Спасибо за разъяснение, поняла. Поменяла ).
     
  16. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.594
    Хорошо.

    Скрипт regist выполнили?

    Продолжайте по его рекомендациям из этого поста

    +

    • Загрузите SecurityCheck by screen317 отсюда или отсюда и сохраните утилиту на Рабочем столе
    • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
    • Когда увидите консоль, нажмите любую клавишу для продолжения сканирования
    • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    • Дождитесь окончания сканирования, откроется лог в блокноте с именем checkup.txt;
    • Прикрепите файл к следующему сообщению.
     
    1 человеку нравится это.
  17. May-ya
    Оффлайн

    May-ya Активный пользователь

    Сообщения:
    68
    Симпатии:
    12
    regist, спасибо - нашла ответ у вас в прикреплённых ссылках :) В общем, прочитала я FAQ и каюсь: МВАМ мне показала реестр из 4-х вирусов, я галочки поставила и удалила, поскольку не знала, что нельзя удалять их без разрешения консультанта.
    Но сегодня ничего не было.

    Добавлено через 2 минуты 13 секунд
    Написала вам черти что. Я имела в виду, что удалила я 4 файла в МВАМ еще вчера.

    Добавлено через 3 минуты 49 секунд
    Да, выполнила всё, все логи сделала, застряла только на МВАМ. Насколько я поняла, могу пропустить этот шаг?
     
  18. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    Прикрепите свежие логи к своему сообщению и пришлите карантин. указания с MBAM можете пропустить (просмотрел старый отчёт, ничего критичного вы не удалили).
     
  19. May-ya
    Оффлайн

    May-ya Активный пользователь

    Сообщения:
    68
    Симпатии:
    12
  20. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    прикрепите оба в них разная информация, а также прикрепите лог который попросил Severnyj
    сейчас посмотрю то что прикрепили.
     
    Последнее редактирование: 6 май 2012
Статус темы:
Закрыта.

Поделиться этой страницей