Решена Помогите с вирусом

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Keeper, 18 июн 2010.

Статус темы:
Закрыта.
  1. Keeper
    Оффлайн

    Keeper Активный пользователь

    Сообщения:
    5
    Симпатии:
    0
    Здравствуйте.
    Полазил в Интернете, после nod32 нашел троянов, удалил, перезагрузил комп, nod32 не запустился, при попытке запуска в ручную пишет: «Невозможно открыть данную программу из-за политики ограничения применения программного обеспечению. За дополнительной информацией обратитесь к системному администратору или откройте Просмотр событий». Так же нельзя зайти ни в редактор реестра, ни в восстановление системы, ни на сайты антивирусов.
    Посмотреть вложение info.txt

    Посмотреть вложение log.txt

    Посмотреть вложение virusinfo_syscheck.zip

    Посмотреть вложение virusinfo_syscure.zip
     
  2. edde
    Оффлайн

    edde Ассоциация VN/VIP VIP

    Сообщения:
    1.828
    Симпатии:
    2.034
    Выполните скрипт авз
    Код (Text):
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\windows\system32\b0fea6a3.exe','');
     QuarantineFile('d:\games\heroes of newerth\hon.exe','');
     QuarantineFile('C:\WINDOWS\system32\2YfvZ7U.exe','');
     QuarantineFile('C:\WINDOWS\system32\L4bVXBK.exe','');
     QuarantineFile('C:\WINDOWS\system32\e9p7zKO.exe','');
     QuarantineFile('C:\WINDOWS\system32\zpixzwA.exe','');
     QuarantineFile('C:\WINDOWS\system32\5QICZuJ.exe','');
     QuarantineFile('C:\WINDOWS\system32\FHz3W2o.exe','');
     QuarantineFile('C:\WINDOWS\system32\BH5Clmm.exe','');
     QuarantineFile('C:\WINDOWS\system32\FSS9m7Y.exe','');
     DeleteFile('C:\WINDOWS\system32\2YfvZ7U.exe');
     DeleteFile('C:\WINDOWS\system32\L4bVXBK.exe');
     DeleteFile('C:\WINDOWS\system32\e9p7zKO.exe');
     DeleteFile('C:\WINDOWS\system32\zpixzwA.exe');
     DeleteFile('C:\WINDOWS\system32\5QICZuJ.exe');
     DeleteFile('C:\WINDOWS\system32\FHz3W2o.exe');
     DeleteFile('C:\WINDOWS\system32\BH5Clmm.exe');
     DeleteFile('C:\WINDOWS\system32\FSS9m7Y.exe');
     DeleteFile('c:\windows\system32\b0fea6a3.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
     ExecuteRepair(17);
     ExecuteRepair(20);
    RebootWindows(true);
    end.
    Компьютер перезагрузится
    Выполните второй скрипт

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Карантин с паролем virus отправьте на ящик myedde@mail.ru

    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и скопируйте в сообщение.
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

    Обновите базы , повторите логи

    Добавлено через 1 час 55 минут 29 секунд
    +
    Выполните дополнительно скрипт

    Код (Text):
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('\\?\globalroot\systemroot\system32\BnZARus.exe','');
     QuarantineFile('c:\documents and settings\кирилл\главное меню\программы\автозагрузка\sysqpv32.exe','');
     QuarantineFile('\\?\globalroot\systemroot\system32\KdD6zZ0.exe','');
     QuarantineFile('c:\documents and settings\кирилл\главное меню\программы\автозагрузка\sysqpv32.exe','');
     DeleteFile('c:\documents and settings\кирилл\главное меню\программы\автозагрузка\sysqpv32.exe');
     DeleteFile('\\?\globalroot\systemroot\system32\BnZARus.exe');
     DeleteFile('c:\documents and settings\кирилл\главное меню\программы\автозагрузка\sysqpv32.exe');
     DeleteFile('\\?\globalroot\systemroot\system32\KdD6zZ0.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    В HJT
    пофиксите эту строку
    Код (Text):
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\b0fea6a3.exe,\\?\globalroot\systemroot\system32\L01RR03.exe,\\?\globalroot\systemroot\system32\BnZARus.exe,\\?\globalroot\systemroot\system32\KdD6zZ0.exe,
     
    6 пользователям это понравилось.
  3. Keeper
    Оффлайн

    Keeper Активный пользователь

    Сообщения:
    5
    Симпатии:
    0
    Выполнил все скрипты, архив отправил на почту, просканировал MBAM, с файлами реестра ничего не делал, жду рекомендации, вот лог:


    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Версия базы данных: 4215

    Windows 5.1.2600 Service Pack 2
    Internet Explorer 6.0.2900.2180

    19.06.2010 16:28:44
    mbam-log-2010-06-19 (16-28-44).txt

    Тип сканирования: Полное сканирование (C:\|D:\|)
    Просканированные объекты: 360551
    Времени прошло: 1 часов, 1 минут, 8 секунд

    Зараженные процессы в памяти: 0
    Зараженные модули в памяти: 0
    Зараженные ключи в реестре: 5
    Зараженные параметры в реестре: 5
    Объекты реестра заражены: 4
    Зараженные папки: 1
    Зараженные файлы: 12

    Зараженные процессы в памяти:
    (Вредоносных программ не обнаружено)

    Зараженные модули в памяти:
    (Вредоносных программ не обнаружено)

    Зараженные ключи в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-22cx3c644241} (Generic.Bot.H) -> Not selected for removal.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{67kln5j0-4opm-00we-aax5-74cc2a323342} (Generic.Bot.H) -> Not selected for removal.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{67kln5j0-4opm-00we-aax5-74cc2a323342} (Backdoor.Bifrose) -> Not selected for removal.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-22cx3c644241} (Backdoor.IRCBot) -> Not selected for removal.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SDKhlpUser (Password.Stealer) -> Not selected for removal.

    Зараженные параметры в реестре:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\host (Malware.Trace) -> Not selected for removal.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\id (Malware.Trace) -> Not selected for removal.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Not selected for removal.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Not selected for removal.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Not selected for removal.

    Объекты реестра заражены:
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableConfig (Windows.Tool.Disabled) -> Bad: (1) Good: (0) -> Not selected for removal.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.

    Зараженные папки:
    C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> Quarantined and deleted successfully.

    Зараженные файлы:
    C:\Avz\Quarantine\2010-06-19\avz00009.dta (Trojan.Scar) -> Quarantined and deleted successfully.
    C:\Documents and Settings\Кирилл\Local Settings\Temp\Rar$DR00.547\2010-06-19\avz00009.dta (Trojan.Scar) -> Quarantined and deleted successfully.
    D:\Games\Braid\Uninstall.exe (Malware.Packer.Krunchy) -> Quarantined and deleted successfully.
    D:\Games\RAGDOLL MASTERS V3.0\patch.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
    D:\Games\Игры\Игрушки\пинпонг\YAP!\snd\VVSNInst.exe (Adware.WhenU) -> Quarantined and deleted successfully.
    D:\Зумы\Giza\dsetup.dll (Malware.Packer.Gen) -> Quarantined and deleted successfully.
    D:\Картинки\Педальный\Новая папка\Новая папка\Adobe Audition v.2.0\Crack\keygen.exe (Trojan.Agent) -> Quarantined and deleted successfully.
    D:\Картинки\Педальный\Новая папка\Новая папка\Adobe Creative Suite 2.0\Crack\keygen.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.
    D:\Torrent\kk\ChainZ_2_setup.exe (Malware.Packer) -> Quarantined and deleted successfully.
    C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Trojan.Agent) -> Quarantined and deleted successfully.
    C:\Documents and Settings\Кирилл\Application Data\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
    C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> Quarantined and deleted successfully.


    В HJT срочку которую надо пофиксить не нашел.
     
  4. icotonev
    Оффлайн

    icotonev Ассоциация VN

    Сообщения:
    1.406
    Симпатии:
    1.643
    Keeper,

    Код (Text):
    Пожалуйста обновите баз [URL="http://safezone.cc/forum/downloads.php?do=file&id=12"][B][U]AVZ[/U][/B][/URL]
        нажмите Файл => Обновление баз => Пуск
    Повторите логи АВЗ + RSIT...!Кстати,то, что состояние вашей системы..?
     
  5. Keeper
    Оффлайн

    Keeper Активный пользователь

    Сообщения:
    5
    Симпатии:
    0
    Вот новые логи. Состояние системы без изменения(
    Хотелось бы уточнить, что делать с зараженными файлами реестра из предыдущего лога МВАМ.
     

    Вложения:

    • info.txt
      Размер файла:
      26,1 КБ
      Просмотров:
      0
    • log.txt
      Размер файла:
      24,1 КБ
      Просмотров:
      2
    • virusinfo_syscheck.zip
      Размер файла:
      16,4 КБ
      Просмотров:
      1
    • virusinfo_syscure.zip
      Размер файла:
      17,1 КБ
      Просмотров:
      2
  6. iskander-k
    Оффлайн

    iskander-k Команда форума Супер-Модератор Ассоциация VN/VIP Преподаватель

    Сообщения:
    3.733
    Симпатии:
    3.260
    Отметить для удаления. Для этого повторите сканирование полное программой МБАМ и удалите найденное.
     
  7. icotonev
    Оффлайн

    icotonev Ассоциация VN

    Сообщения:
    1.406
    Симпатии:
    1.643
    Keeper, ..:

    Код (Text):
    O17 - HKLM\System\CCS\Services\Tcpip\..\{2EC9B81A-4BB0-47D5-BDB7-AA9BC5406617}: NameServer = 62.148.128.1 62.148.159.188
    O17 - HKLM\System\CCS\Services\Tcpip\..\{62E90020-BB60-48FE-ACDA-213F6D68ABF9}: NameServer = 10.152.195.95,10.152.203.3,10.152.202.226,62.148.128.1,62.148.128.22
    O17 - HKLM\System\CS1\Services\Tcpip\..\{2EC9B81A-4BB0-47D5-BDB7-AA9BC5406617}: NameServer = 62.148.128.1 62.148.159.188
    O17 - HKLM\System\CS2\Services\Tcpip\..\{2EC9B81A-4BB0-47D5-BDB7-AA9BC5406617}: NameServer = 62.148.128.1 62.148.159.188
    DNS ваши?

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".


    Код (Text):
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('d:\games\heroes of newerth\hon.exe','');
     QuarantineFile('buqobegd.sys','');
     QuarantineFile('C:\WINDOWS\Inf\oem106.PNF:DNG','');
     DeleteFile('buqobegd.sys');
     DeleteFile('C:\WINDOWS\Inf\oem106.PNF:DNG');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    После перезагрузки выполнить второй скрипт:

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine .zip');
    end.
    В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.


    Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

    1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
    2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
    Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

    Подробнее в "ComboFix. Руководство по применению."
     
    Последнее редактирование модератором: 20 июн 2010
    2 пользователям это понравилось.
  8. Keeper
    Оффлайн

    Keeper Активный пользователь

    Сообщения:
    5
    Симпатии:
    0
    Dns у меня стоят только для локальной сети: 10.152.195.95,10.152.203.3
    В интернете получаю автоматически.
    Ответ по архиву карантина пока не дождался.
    Просканировал ComboFix, в результате состояние системы улучшилось:
    могу зайти на сайты антивирусов, в редактор реестров, восстановление системы, но антивирус пока не запускается.
    Сделал новые логи.
     

    Вложения:

    • virusinfo_syscheck.zip
      Размер файла:
      16,6 КБ
      Просмотров:
      2
    • virusinfo_syscure.zip
      Размер файла:
      17,1 КБ
      Просмотров:
      2
    • log.txt
      Размер файла:
      22,4 КБ
      Просмотров:
      3
    • info.txt
      Размер файла:
      25,9 КБ
      Просмотров:
      0
    • ComboFix.txt
      Размер файла:
      13,8 КБ
      Просмотров:
      5
    Последнее редактирование: 20 июн 2010
  9. edde
    Оффлайн

    edde Ассоциация VN/VIP VIP

    Сообщения:
    1.828
    Симпатии:
    2.034
    Результаты карантина
    2010-06-19.zip/2010-06-19/avz00002.dta - инфицирован Trojan-Dropper.Win32.Shiz.ev
    2010-06-19.zip/2010-06-19/avz00003.dta - инфицирован Trojan.Win32.Scar.ckrf
    2010-06-19.zip/2010-06-19/avz00004.dta - инфицирован Trojan.Win32.Scar.ckrf
    2010-06-19.zip/2010-06-19/avz00005.dta - инфицирован Backdoor.Win32.Shiz.hv
    2010-06-19.zip/2010-06-19/avz00006.dta - инфицирован Trojan.Win32.Scar.ckki
    2010-06-19.zip/2010-06-19/avz00007.dta - инфицирован Trojan.Win32.Agent.egod
    2010-06-19.zip/2010-06-19/avz00008.dta - инфицирован Trojan.Win32.Scar.cjtz
    2010-06-19.zip/2010-06-19/avz00009.dta - инфицирован Trojan.Win32.Scar.cjmp


    Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"
    [​IMG]

    Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up


    Вставьте диск с дистрибутивом windows в привод cd-dvd запустите командную строку от имни администратора или пуск\выполнить cmd
    в командной строке введите sfc /scannow дождитесь окончания проверки файлов

    Обновите систему до sp3

    Вам было рекомендовано удалить найденные вредоносные записи при проверке мбам, почему не сделали?
    Web money похоже придется переустанавливать.
     
  10. Keeper
    Оффлайн

    Keeper Активный пользователь

    Сообщения:
    5
    Симпатии:
    0
    Вредоносные записи при проверке мвам удалил просто не выложил лог.
    А вот с сп3 будут проблемы так как windows не лицензионный... без этого ни как?)
     
  11. edde
    Оффлайн

    edde Ассоциация VN/VIP VIP

    Сообщения:
    1.828
    Симпатии:
    2.034
    Обновляться необязательно, но крайне желательно. Тем более что всех проблем на пять минут, гугль в помощь. Что с проблемами?
     
  12. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    В карантине было:
    2YfvZ7U.exe - Backdoor.Win32.Shiz.hl
    5QICZuJ.exe - Trojan.Win32.Scar.ckki
    BH5Clmm.exe - Trojan.Win32.Scar.cjtz
    L4bVXBK.exe - Trojan.Win32.Scar.ckrf
    FHz3W2o.exe - Trojan.Win32.Agent.egod
    FSS9m7Y.exe - Trojan.Win32.Scar.cjmp
    zpixzwA.exe - Backdoor.Win32.Shiz.hv
     
Статус темы:
Закрыта.

Поделиться этой страницей