Решена Помогите удалить вирус

Тема в разделе "Лечение компьютерных вирусов", создана пользователем СЭМ, 14 ноя 2009.

  1. СЭМ
    Оффлайн

    СЭМ Активный пользователь

    Сообщения:
    13
    Симпатии:
    0
    Компьютерные гуру, помогите, кто, чем сможет.
    Завелась зверушка на машине. Вирь какой-то или троян. Похож на Tiniresu или Sdra64.
    Касаперыч установлен, обновляется постоянно… не помогло, пропустил супостата.
    Полная проверка на максимальных настройках результата не дала: Найденно 0.
    Постоянно вылазит процесс, Касперыч ругается дюже.

    ZBotKiller_v2 с сайта каспера ничего не нашел.
    Вот такие пироги… из папки C:\Temp я файлы завирусованные вручную удалял, не помогает, они появляются снова только имена меняются:15.tmp, 3.tmp, 5.tmp… и т.д.
    Файл: C:\WINDOWS\system32\userinit.exe = 26624 байт, должен быть не более 25600. Похоже он завирусован. Я его удалил и подменил таким же (он, вроде, стандартный) с другого компьютера. Файл: C:\WINDOWS\system32\sdra64.exe Я найти не могу, в папке system32 его нет. В процессах sdra64 тоже не видно (ProcessExplorer). Стоит подключится к инету и начинается…
    ОС: ХР про 3 сервиспак, Касперский7. Dr.Web® CureIt зависает, Касперский отключал, в режиме защиты от сбоев запускал... не работает. Блин… жо..ой чую, придется искать специалиста.
    Если можно все подробнее, для чайника.
    Убей винду..., этот способ я и сам знаю.:eek:
    Всем спасибо.
     
  2. Sergei
    Оффлайн

    Sergei Активный пользователь

    Сообщения:
    398
    Симпатии:
    575
    2 пользователям это понравилось.
  3. СЭМ
    Оффлайн

    СЭМ Активный пользователь

    Сообщения:
    13
    Симпатии:
    0
    Надеюсь, все сделал правильно.
    Я в этом неочень разбираюсь
     
  4. Sergei
    Оффлайн

    Sergei Активный пользователь

    Сообщения:
    398
    Симпатии:
    575
    а где virusinfo_syscheck.zip и virusinfo_syscure.zip ?
     
  5. СЭМ
    Оффлайн

    СЭМ Активный пользователь

    Сообщения:
    13
    Симпатии:
    0
    Вот они. Только разобрался с программой.:mda:
     
  6. СЭМ
    Оффлайн

    СЭМ Активный пользователь

    Сообщения:
    13
    Симпатии:
    0
    Sergei, спасибо. Написал Вам в ЛС.
     
  7. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.447
    Симпатии:
    13.950
    Пофиксить в HijackThis следующие строчки
    Код (Text):
        F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe fsxa.vno usvweob
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('c:\progra~1\micros~4\rapimgr.exe','');
     QuarantineFile('C:\WINDOWS\system32\fsxa.vno','');
     DeleteFile('C:\WINDOWS\system32\fsxa.vno');
     QuarantineFile('C:\WINDOWS\system32\CEUTIL.dll','');
     DeleteFile('C:\WINDOWS\system32\sdra64.exe');
     BC_ImportALL;
     ExecuteSysClean;
     BC_Activate;
     ExecuteRepair(16);
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.

    Полученный архив прикрепите к этой теме


    Обновите Reader 8.0 до версии Reader 9.х


    Повторите логи
     
  8. СЭМ
    Оффлайн

    СЭМ Активный пользователь

    Сообщения:
    13
    Симпатии:
    0
    Я уже выполнил скрипт:
    Код (Text):
    begin
    SetServiceStart('RemoteRegistry', 4);
    SearchRootkit(true, true);
     DeleteFile('C:\WINDOWS\system32\fsxa.vno');
     DelBHO('{710EB7A1-45ED-11D0-924A-0020AFC7AC4D}');
     DelBHO('{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}');
     DelBHO('{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Sergei, помог, спасибо ему.
    После этого Ваш скрипт тоже нужно выполнить? Или все уже сделанно?
     
  9. Sergei
    Оффлайн

    Sergei Активный пользователь

    Сообщения:
    398
    Симпатии:
    575
    СЭМ, выполните рекомендации акок обязательно .

    это был только минимум пока не было хелперов онлине
     
  10. СЭМ
    Оффлайн

    СЭМ Активный пользователь

    Сообщения:
    13
    Симпатии:
    0
    Спасибо Вам ребята. Все выполнил по инструкции. Файл карантина выложил в соответствующей ветке. Сейчас сделаю новые логии и выложу.
     
  11. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.447
    Симпатии:
    13.950
    Откуда скрипт вестимо?
     
  12. СЭМ
    Оффлайн

    СЭМ Активный пользователь

    Сообщения:
    13
    Симпатии:
    0
    Sergei дал.
    Новые логи:)
     
  13. СЭМ
    Оффлайн

    СЭМ Активный пользователь

    Сообщения:
    13
    Симпатии:
    0
    akoK, мне нужно удалить Reader и установить более новую версию?
    Я сейчас качаю с официального ресурса версию 9.2. Жаль она на английском языке.
    Пробовал обновить свой Reader, программа скачала из сети 15 мб обновлений но так и осталась 8.1 Я думал, можно обновить не удаляя… чайник :)
     
  14. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.447
    Симпатии:
    13.950
    ok. Теперь понял... вопрос снят.


    СЭМ, как самочуствие?
     
  15. СЭМ
    Оффлайн

    СЭМ Активный пользователь

    Сообщения:
    13
    Симпатии:
    0
    Отлично, все работает, Касперский молчит.:)
    Reader я поставил 9.2
    Больше ничего не нужно делать?...УРА:dance3:
     
  16. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.447
    Симпатии:
    13.950
    Я ничего вредоносного не вижу.
    Перед скачиванием нужно язык выбрать :)
     
  17. СЭМ
    Оффлайн

    СЭМ Активный пользователь

    Сообщения:
    13
    Симпатии:
    0
    Спасибо за помощь.
    Вопрос. Программы avz, HijackThis и RSIT можно удалить с компьтера? Ведь в случае проблем все равно придется скачивать свежие версии.
    Папки с программами просто перетащить в корзину или нужно как-то их удалять?
     
  18. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.447
    Симпатии:
    13.950
    СЭМ, конечно можно удалить. Не забывайте пересоздать точку восстановления.
     
  19. СЭМ
    Оффлайн

    СЭМ Активный пользователь

    Сообщения:
    13
    Симпатии:
    0
    Подскажите, пожалуйста. Касперский находит процесс:
    C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
    Определяет его как потенциально опасный.
    Я так понял это часть Reader 9.2
    Это процесс должен быть, добавить его в исключения Касперского?
    Логи нужны?
     
  20. СЭМ
    Оффлайн

    СЭМ Активный пользователь

    Сообщения:
    13
    Симпатии:
    0
    На всякий "пожарный" выкладываю логи.
    Касперский ругается на этот процесс при каждой перезагрузке.
    Проверьте, пожалуйста.
     

Поделиться этой страницей