Решена В реестре 225 TCPRoute и 10 вирусов нашлось. Что делать далее?

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Влад, 9 окт 2010.

Статус темы:
Закрыта.
  1. Влад
    Оффлайн

    Влад Активный пользователь

    Сообщения:
    28
    Симпатии:
    0
    Здравствуйте!Почти месяц спустя комп начал очень сильно тормозить и инет. malwarbytes нашёл 225 вирусов. cureit нашёл 10 вирусов и после удаления завис. AVZ - не обновил базы, на сайты антивирусов - зайти не удается. HIJACK - создал логи, но прикрепить лог не удалось - пишет, что некорректный файл. логи прилагаю, подскажите, пожалуйста, дальнейшие шаги лечения.:confused:
    Есть предположение, что проблемы из-за n e r o . В прошлый раз все началось из-за попытки поудалять ее ручками. затем полезли вирусы, заем слетела "видюха" и пошло-поехало. С видюхой не справился - решил переустанавливать систему, перед этим "почистил" n e r o. И опять вылезла нечисть.
     

    Вложения:

    Последнее редактирование: 9 окт 2010
  2. icotonev
    Оффлайн

    icotonev Ассоциация VN

    Сообщения:
    1.406
    Симпатии:
    1.643
    Добрый день ..!

    Удалите все найденные с МБАМ...!

    Скрипт AVZ.
    Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
    Код (Text):

    begin
     ExecuteRepair(20);
    RebootWindows(true);
    end.
     
    Подготовка свежие логи с АВЗ + МБАМ...!
     
    Последнее редактирование: 9 окт 2010
    2 пользователям это понравилось.
  3. Влад
    Оффлайн

    Влад Активный пользователь

    Сообщения:
    28
    Симпатии:
    0
    После удаления найденного МБАМ обновились базы AVZ. Логи прилагаю. Спасибо. Что делать далее?
     

    Вложения:

  4. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Что с проблемами?
     
    2 пользователям это понравилось.
  5. Влад
    Оффлайн

    Влад Активный пользователь

    Сообщения:
    28
    Симпатии:
    0
    21.30 cure it оооочень долго проверяет папку c\windows\system32\drivers - в корне этой папки файлы с расширением *.sys проверяются со скоростью один файл в полминуты-минуту. Проверка идет третий час. И это БЫСТРАЯ проверка.
    21.33Сейчас пошла проверка в других папках - счетчик проверенных файлов "летает" - десятки в секунду.
    21.35 По какой-то причине ОПЯТЬ проверяет корневые файлы вышеуказанной папки.
    Раньше быстрая проверка занимала от силы 15 минут.

    Добавлено через 23 часа 10 минут 32 секунды
    Здравствуйте! Инет тормозит, cureit даже не запускаю на полный режим. Что делать дальше?
     
    Последнее редактирование: 9 окт 2010
  6. icotonev
    Оффлайн

    icotonev Ассоциация VN

    Сообщения:
    1.406
    Симпатии:
    1.643
    Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

    1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
    2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
    Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

    Подробнее в "ComboFix. Руководство по применению."
     
    2 пользователям это понравилось.
  7. Влад
    Оффлайн

    Влад Активный пользователь

    Сообщения:
    28
    Симпатии:
    0
    Здравствуйте. После начала работы Combo Fix появилась надпись, что есть "детект" руткита. Перезагрузилось, прошло два раза. Инет - тормозит также, пропал значок переключения раскладки клавиатуры (Ru-En). Обратите внимание, что наш Яндекс "использует" фишку: при наборе текста автоматически "подменяет" русскую или латинскую раскладку, если по его - Яндексу- мнению надо "писать" соответственно. И для того, чтобы переключить раскладку с русского на английский (и наоборот) надо нажимать не Shif+Alt(левый), а Shif+Alt(левый)+Alt(левый) - то есть дважды Alt. После работы Combo Fix при замене раскладки опять работает распространенный вариант Shif+Alt(левый) - единожды.
    лог Combo Fix прикладываю. Завтра попытаюсь "прогнать" cureit в полном варианте. Есть ли сейчас в этом смысл? И еще : за прошлый месяц исходящий трафик - почти 500 мегабайт. НИКАКИХ файлов кроме штук 40 Word - не отправлял. Вопрос - может ли быть ТЕОРЕТИЧЕСКИ такой трафик?
     

    Вложения:

    • ComboFix.txt
      Размер файла:
      7,1 КБ
      Просмотров:
      2
  8. icotonev
    Оффлайн

    icotonev Ассоциация VN

    Сообщения:
    1.406
    Симпатии:
    1.643
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код (Text):

    KillAll::
    File::
    Driver::
    Folder::
    c:\program files\Common Files\b82639d4
    Registry::
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "14437:TCP"=-
    FileLook::
    DirLook::
    Reboot::
     
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
    [​IMG]
    Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
     
  9. Влад
    Оффлайн

    Влад Активный пользователь

    Сообщения:
    28
    Симпатии:
    0
    Здравствуйте. Выполнил скрипт, снова "presence" руткит активити. Перезагружался дважды. Лог прилагаю. Не удается зайти на сайты он-лайн проверки на вирусы: эсед 32, вирустотал. Похоже, что на адрес *.com не дает зайти, т.к. на он-лайн адрес в доменной зоне .ru зайти возможно. Что делать дальше?
     

    Вложения:

    • ComboFix.txt
      Размер файла:
      8,1 КБ
      Просмотров:
      3
  10. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Скачайте GMER по одной из указанных ссылок:
    Gmer со случайным именем, Gmer в zip-архиве (перед применением распаковать в отдельную папку)
    - Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
    Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
    После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
    • Sections
    • IAT/EAT
    • Show all
    Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
    - Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
    После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

    И логи AVZ повторите.
     
  11. Влад
    Оффлайн

    Влад Активный пользователь

    Сообщения:
    28
    Симпатии:
    0
    Gmer провел экпресс-проверку, а после нажатия СКАН комп сразу перезагрузился. Может, надо было убрать ComboFix? АВЗ делаю.
     
  12. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ с паролем virus и отправьте на quarantine<at>safezone.cc с указанием ссылки на тему в поле заголовка(теме) сообщения.. (at=@)

    Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду ComboFix /Uninstall, нажмите кнопку "ОК"
    [​IMG]

    Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up
     
  13. Влад
    Оффлайн

    Влад Активный пользователь

    Сообщения:
    28
    Симпатии:
    0
    AVZ - логи прилагаю, папку отправил.
     

    Вложения:

  14. icotonev
    Оффлайн

    icotonev Ассоциация VN

    Сообщения:
    1.406
    Симпатии:
    1.643
    В логи AВЗ не вижу ничего тревожные...!После удаления ComboFix,попробуйте сделать проверку с Gmer..!

    Инструкция - пост 10
     
  15. Влад
    Оффлайн

    Влад Активный пользователь

    Сообщения:
    28
    Симпатии:
    0
    AVZ сделал - логи прилагаю. Malware еще 4 выловил. Cure it работает следующим образом: сначала 8100 файлов проверил за 18 минут (довольно быстро), затем проверка папки system32\drivers сильно тормозит - например, amdk6.sys или amdk7.sys проверяет по 15-20 секунд, adinttxx.sys или ati1xbxx.sys - 2 минуты. Итого 200 файлов аж за 40 минут. Примерно 2000 файлов проверялось 1ч 40 минут. Думал, новый алгоритм Cure it , но у отца на довольно древнем ноутбуке - 10 тыс.файлов 54 процесса проверилось за 22 минуты. Примерно такой же длительности проверка была раньше и у меня (полтора месяца назад). Сейчас попробую GMER.
     

    Вложения:

  16. Влад
    Оффлайн

    Влад Активный пользователь

    Сообщения:
    28
    Симпатии:
    0
    Gmer провел экпресс-проверку, а после нажатия СКАН комп сразу перезагрузился. Перезагрузка произошла после проверки Device\Prodrv03 - не знаю, что это такое и из-за него ли? То есть GMER не сработал, после перезагрузки служебное окно мелкомягкого "...система восстановлена...ошибки..отправить отчет...". Инет грузится через раз - то окно "соединение не подключено..", то нормально подключается. Зато на з-олег точка ком свободно захожу.
     
  17. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Не вижу признаков активного заражения.

    Раз уж пошла такая пьянка давайте проверим систему AVPtool
     
  18. Влад
    Оффлайн

    Влад Активный пользователь

    Сообщения:
    28
    Симпатии:
    0
    И еще: в реестре HKEY LOKAL MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NAUPDATE\0000\ есть DeviceDesc тип REG_SZ со значением @C:program Files\Nero\Update\NASvc.exe,-200 и Service тип REG_SZ со значением NAUPDATE. Это неудаленные остатки. И неудаляемые!!! Есть предположение, что из-за неё все проблемы и есть. Что делать дальше?

    Добавлено через 8 минут 59 секунд
    AVP не удается скачать - 1 Мб и ..соединение прервано.
     
  19. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    2 пользователям это понравилось.
  20. Влад
    Оффлайн

    Влад Активный пользователь

    Сообщения:
    28
    Симпатии:
    0
    Спасибо за ссылку - Я использовал похожую с того же сайта, но она вообще не срабатывала "...неправильный путь..." Ваша хоть что-то начала "делать", но потом "...не обнаружено". И в реестре та же запись осталась. AVP вчера не доработала. Сейчас еще раз запущу. На связь выйду после 18.00. Приложу логи.
     
    Последнее редактирование: 12 окт 2010
Статус темы:
Закрыта.

Поделиться этой страницей