Решена Вирус - логи

Тема в разделе "Лечение компьютерных вирусов", создана пользователем x-disa, 7 июн 2011.

Статус темы:
Закрыта.
  1. x-disa
    Оффлайн

    x-disa Активный пользователь

    Сообщения:
    6
    Симпатии:
    0
    Здравствуйте уважаемые форумчане!
    Первый раз столкнулся с такой сложностью вирусы какие то!
    антивирусники не помогают ни Dr.Web CureIt ни Virus Removal Tool от лаб.касперского
    Помогите пожалуйста!
    логи прилагаю!
    заранее спасибо!!


    А да видел Backdoor.win32.cetorp.p; Packed.win32.katusha.o; Worm.win32.AutoRun.cjzh; Worm.win32.AutoRun.ckan
    и на сайт касперского не пускает...
     

    Вложения:

    • virusinfo_syscure.zip
      Размер файла:
      23,5 КБ
      Просмотров:
      6
    • virusinfo_syscheck.zip
      Размер файла:
      22 КБ
      Просмотров:
      3
    • log.txt
      Размер файла:
      18,2 КБ
      Просмотров:
      2
    • info.txt
      Размер файла:
      22 КБ
      Просмотров:
      0
    Последнее редактирование: 7 июн 2011
  2. Sfera
    Оффлайн

    Sfera Куратор обучения Ассоциация VN/VIP VIP

    Сообщения:
    6.327
    Симпатии:
    5.128
    5 минут, пожалуйста, посмотрю логи

    Добавлено через 21 минуту 9 секунд
    x-disa, привет)

    Проверьте сами на http://www.virustotal.com файл

    Код (Text):
    C:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys
     
    ссылку на результат запостите здесь

    Отключите:
    Антивирус/Файерволл

    AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

    Код (Text):

    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     QuarantineFile('C:\Documents and Settings\Администратор\ctfmon.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\Application Data\5D.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\Application Data\5B.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\Application Data\6D.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\Application Data\6B.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\Application Data\1C27.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\Application Data\1C25.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\Application Data\F0.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\Application Data\8.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\Application Data\231.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\Application Data\213.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\Application Data\209.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\Application Data\201.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\Application Data\1E5.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\Application Data\1DC.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\Application Data\1D2.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\Application Data\1A4.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\Application Data\123.exe','');
    QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Fmpkpp.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\Application Data\8C.tmp','');
     DeleteFile('C:\Documents and Settings\Администратор\Application Data\8C.tmp');
     DeleteFile('C:\Documents and Settings\Администратор\Application Data\123.exe');
     DeleteFile('C:\Documents and Settings\Администратор\Application Data\1A4.exe');
     DeleteFile('C:\Documents and Settings\Администратор\Application Data\1D2.exe');
     DeleteFile('C:\Documents and Settings\Администратор\Application Data\1DC.exe');
     DeleteFile('C:\Documents and Settings\Администратор\Application Data\1E5.exe');
     DeleteFile('C:\Documents and Settings\Администратор\Application Data\1E9.exe');
     DeleteFile('C:\Documents and Settings\Администратор\Application Data\201.exe');
     DeleteFile('C:\Documents and Settings\Администратор\Application Data\209.exe');
     DeleteFile('C:\Documents and Settings\Администратор\Application Data\213.exe');
     DeleteFile('C:\Documents and Settings\Администратор\Application Data\231.exe');
     DeleteFile('C:\Documents and Settings\Администратор\Application Data\8.exe');
     DeleteFile('C:\Documents and Settings\Администратор\Application Data\F0.exe');
     DeleteFile('C:\Documents and Settings\Администратор\Application Data\1C25.exe');
     DeleteFile('C:\Documents and Settings\Администратор\Application Data\1C27.exe');
     DeleteFile('C:\Documents and Settings\Администратор\Application Data\6B.exe');
     DeleteFile('C:\Documents and Settings\Администратор\Application Data\6D.exe');
     DeleteFile('C:\Documents and Settings\Администратор\Application Data\5B.exe');
     DeleteFile('C:\Documents and Settings\Администратор\Application Data\5D.exe');
     DeleteFile('C:\Documents and Settings\Администратор\ctfmon.exe');
    DeleteFile('C:\Documents and Settings\Администратор\Application Data\Fmpkpp.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Fmpkpp');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
     ExecuteRepair(8);
     ExecuteRepair(16);
    RebootWindows(true);
    end.
     
    После выполнения скрипта компьютер перезагрузится!

    После перезагрузки выполните такой скрипт:

    AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
    скрипт -> Нажать кнопку "Запустить".


    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему

    Скачайте и установите критические обновления windows

    Сделайте повторные логи AVZ + RSIT +HijackThis

    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM
     
    Последнее редактирование: 7 июн 2011
    1 человеку нравится это.
  3. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    В карантине:
    C:\Documents and Settings\Администратор\Application Data\Fmpkpp.exe - Worm.Win32.AutoRun.ckem (Win32.HLLW.Autoruner.51456)

    C:\Documents and Settings\Администратор\Application Data\8C.tmp - Worm.Win32.AutoRun.ckem (Win32.HLLW.Autoruner.51456)
     
    1 человеку нравится это.
  4. x-disa
    Оффлайн

    x-disa Активный пользователь

    Сообщения:
    6
    Симпатии:
    0
    Привет!
    К сожалению не могу выйти на сайт http://www.virustotal.com поэтому файл не отправил, видимо вирус блокирует.
    остальное все сделал
    только виндоус не обновил т.к. у меня нет лицензии. :(
     

    Вложения:

  5. Sfera
    Оффлайн

    Sfera Куратор обучения Ассоциация VN/VIP VIP

    Сообщения:
    6.327
    Симпатии:
    5.128
    минуту, отвечу

    удалите в МВАМ

    смените пароли!

    и я жду контрольные логи AVZ+RSIT+HijackThis

    Пуск-Выполнить вводим
    Код (Text):
    route -f
    нажимаем ОК и перезагружаем комп. Проверяем вход на http://www.virustotal.com
     
    Последнее редактирование: 8 июн 2011
    1 человеку нравится это.
  6. x-disa
    Оффлайн

    x-disa Активный пользователь

    Сообщения:
    6
    Симпатии:
    0
    Вопрос: какие пароли сменить?
    Все сделал логи прилагаю rsit почему то один сделал!
    сайты http://www.virustotal.com и касперского юзаются!
     

    Вложения:

  7. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Все почта, аська итп
     
  8. Sfera
    Оффлайн

    Sfera Куратор обучения Ассоциация VN/VIP VIP

    Сообщения:
    6.327
    Симпатии:
    5.128
    x-disa, смотрю, отвечу
     
    1 человеку нравится это.
  9. x-disa
    Оффлайн

    x-disa Активный пользователь

    Сообщения:
    6
    Симпатии:
    0
    понятненько по паролям! (озадачили) :eek:
     
  10. Sfera
    Оффлайн

    Sfera Куратор обучения Ассоциация VN/VIP VIP

    Сообщения:
    6.327
    Симпатии:
    5.128
    Обновите Internet Explorer до IE8 даже, если им не пользуетесь

    Во избежание новых заражений желательно отключить автозапуск программ с различных носителей, кроме CDROM. Пуск - выполнить - cmd (запуск от имени администратора). В окно командной строки скопируйте и вставьте команду:
    Код (Text):
    REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 221
    Нажмите enter. Для подтверждения перезаписи нажмите Y.

    В логах чисто, что с проблемой?
     
    1 человеку нравится это.
  11. x-disa
    Оффлайн

    x-disa Активный пользователь

    Сообщения:
    6
    Симпатии:
    0
    Спасибо большое!
    Все сделаю!
    сейчас проверю отпишусь по проблеме!
    по первым впечатлениям вроде все норм.

    Но подсказывает мне сердце что к Вам я еще вернусь т.к.
    это у меня ноут но как вернусь домой то стационарный комп надо пролечить
    т.к. он сильно глючит и тупит!

    так что прощаться не буду :)
     
  12. Sfera
    Оффлайн

    Sfera Куратор обучения Ассоциация VN/VIP VIP

    Сообщения:
    6.327
    Симпатии:
    5.128
    Создайте новую контрольную точку восстановления и очистите предыдущие:
    1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
    2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
    Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
    1. скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    2. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    3. нажмите No, если вы хотите оставить ваши сохраненные пароли
    4. если вы используете Opera, нажмите Opera - Select All - Empty Selected
    5. нажмите No, если вы хотите оставить ваши сохраненные пароли

    приходите) полечим.. только отдельную тему создайте для домашнего пк
     
    Последнее редактирование: 8 июн 2011
    1 человеку нравится это.
  13. x-disa
    Оффлайн

    x-disa Активный пользователь

    Сообщения:
    6
    Симпатии:
    0
    Спасибо большое!
    Все сделал! по проблеме пока проверяю но по первому впечатлению все впорядке!
    Хотя и по второму тож! :)

    Но думаю не стоит прощаться т.к.
    это у меня ноут, а дома стационарный комп глючит и тупит сильно но вирусов нет говорит! вот вернусь с командировки и к Вам опять!

    чуть позже отпишусь по проблеме!

    Добавлено через 2 минуты 8 секунд
    ну само собой там будет отдельная тема! наверное побольше чем эта !:D
     
Статус темы:
Закрыта.

Поделиться этой страницей