Решена Вирус

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Шевченко Иван, 18 июл 2011.

Статус темы:
Закрыта.
  1. Шевченко Иван
    Оффлайн

    Шевченко Иван Активный пользователь

    Сообщения:
    116
    Симпатии:
    0
    не могу удалить вирус
    прилагаю логи по инструкции:)
     

    Вложения:

    • virusinfo_syscheck.zip
      Размер файла:
      38 КБ
      Просмотров:
      3
    • virusinfo_syscure.zip
      Размер файла:
      41,3 КБ
      Просмотров:
      10
    • log.txt
      Размер файла:
      37,8 КБ
      Просмотров:
      5
    • info.txt
      Размер файла:
      23,6 КБ
      Просмотров:
      4
  2. Шевченко Иван
    Оффлайн

    Шевченко Иван Активный пользователь

    Сообщения:
    116
    Симпатии:
    0
    на компе в клубе стоит шел и асталависта. при включении времени запускается шел, в ней запускается 6 окон проводников C:\AsShell\
     
  3. Techno
    Оффлайн

    Techno Ассоциация VN

    Сообщения:
    881
    Симпатии:
    407
    Добрый день!!! Смотрю логи, скоро отвечу.
     
  4. Шевченко Иван
    Оффлайн

    Шевченко Иван Активный пользователь

    Сообщения:
    116
    Симпатии:
    0
    добрый, жду ответа. есть еще такой же компьютер, с такими же глюками.могу со 2 компа тоже скинуть логи.
     
  5. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Для каждого нового заражения необходимо создавать новую тему на форуме. Советую сначала с этим разобраться чтобы в скриптах и логах не запутаться.
     
  6. Шевченко Иван
    Оффлайн

    Шевченко Иван Активный пользователь

    Сообщения:
    116
    Симпатии:
    0
  7. Techno
    Оффлайн

    Techno Ассоциация VN

    Сообщения:
    881
    Симпатии:
    407
    1. Отключите антивирус/фаервол и интернет;
    2. Очистите старые и создате новую контрольную точку восстановления:
    - Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
    - Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
    3. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearQuarantine;
     ClearHostsFile;
     TerminateProcessByName('c:\windows\ufa\ufa.exe');
     TerminateProcessByName('c:\windows\update.1\svchost.exe');
     TerminateProcessByName('c:\windows\update.2\svchost.exe');
     TerminateProcessByName('c:\windows\update.5.0\svchost.exe');
     SetServiceStart('wxpdrivers', 4);
     SetServiceStart('srviecheck', 4);
     SetServiceStart('srvbtcclient', 4);
     StopService('wxpdrivers');
     StopService('srviecheck');
     StopService('srvbtcclient');
     QuarantineFile('C:\Windows\miner2.exe','');
     QuarantineFile('services32.exe','');
     QuarantineFile('C:\Windows\update.tray-14-0\svchost.exe','');
     QuarantineFile('C:\Windows\update.3\svchost.exe','');
     QuarantineFile('C:\Windows\update.6.1\svchost.exe','');
     QuarantineFile('c:\windows\ufa\ufa.exe','');
     QuarantineFile('c:\windows\update.1\svchost.exe','');
     QuarantineFile('c:\windows\update.2\svchost.exe','');
     QuarantineFile('c:\windows\update.5.0\svchost.exe','');
     QuarantineFile('C:\Windows\unrar.exe','');
     QuarantineFile('C:\Windows\myunrar2.exe','');
     DeleteFile('c:\windows\ufa\ufa.exe');
     DeleteFile('C:\Windows\update.5.0\svchost.exe');
     DeleteFile('C:\Windows\update.2\svchost.exe');
     DeleteFile('C:\Windows\update.1\svchost.exe');
     DeleteFile('C:\Windows\update.6.1\svchost.exe');
     DeleteFile('C:\Windows\update.3\svchost.exe');
     DeleteFile('C:\Windows\update.tray-14-0\svchost.exe');
     DeleteFile('C:\Windows\miner2.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico0');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','w_distrib.exe');
     DeleteService('srvinstallvideodrv');
     DeleteService('wxpdrivers');
     DeleteService('srviecheck');
     DeleteService('srvbtcclient');
     DeleteFileMask('c:\windows\ufa','*.*',true);
     DeleteFileMask('C:\Windows\update.5.0','*.*',true);
     DeleteFileMask('C:\Windows\update.2','*.*',true);
     DeleteFileMask('C:\Windows\update.1','*.*',true);
     DeleteFileMask('C:\Windows\update.6.1','*.*',true);
     DeleteFileMask('C:\Windows\update.3','*.*',true);
     DeleteFileMask('C:\Windows\update.tray-14-0','*.*',true);
     DeleteDirectory('c:\windows\ufa');
     DeleteDirectory('C:\Windows\update.5.0');
     DeleteDirectory('C:\Windows\update.2');
     DeleteDirectory('C:\Windows\update.1');
     DeleteDirectory('C:\Windows\update.6.1');
     DeleteDirectory('C:\Windows\update.3');
     DeleteDirectory('C:\Windows\update.tray-14-0');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('srvbtcclient');
     BC_DeleteSvc('srviecheck');
     BC_DeleteSvc('wxpdrivers');
     BC_DeleteSvc('srvinstallvideodrv');
    BC_Activate;
    RebootWindows(true);
    end.
     
    Компьютер перезагрузится!!!

    После перезагрузки:

    4. Выполните в АВЗ:
    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Загрузите quarantine.zip из папки АВЗ через эту форму.

    5. Сделайте лог MBAM:
    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Полное сканирование", нажмите "Сканирование", после сканирования - Ok - "Показать результаты" - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

    6. Повторите логи АВЗ и РСИТ.
     
    Последнее редактирование: 18 июл 2011
  8. Шевченко Иван
    Оффлайн

    Шевченко Иван Активный пользователь

    Сообщения:
    116
    Симпатии:
    0
    удалил с C:\Windows\update.1, C:\Windows\update.2 (подобные папки скрытые 5.0,6.1) в них лежал svchost.exe и вирусы типа 1000642.exe (находил до этого около 180 вирусов доктором вебом куреит, вирусы в ввиде цифер 2004895.exe и пару svchost.exe)
     
  9. Techno
    Оффлайн

    Techno Ассоциация VN

    Сообщения:
    881
    Симпатии:
    407
    Вы в ручную удаляли?
    Скрипт выполнили?
     
  10. Шевченко Иван
    Оффлайн

    Шевченко Иван Активный пользователь

    Сообщения:
    116
    Симпатии:
    0
    нажимаю выполнить скрипт в авз, пишет ошибка : ')' expected в позиции 26:17
    сам не нашел где скопка или запятая не так.

    Добавлено через 1 минуту 53 секунды
    в ручную удалил пару папок пока ждал ответа.
     
  11. Techno
    Оффлайн

    Techno Ассоциация VN

    Сообщения:
    881
    Симпатии:
    407
    Извините. Поправил, выполняйте.
     
    Последнее редактирование: 18 июл 2011
  12. Шевченко Иван
    Оффлайн

    Шевченко Иван Активный пользователь

    Сообщения:
    116
    Симпатии:
    0
    скрипт еще не выполнил ошибка не могу запустить выше описал ее
     
  13. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Страничку обновите, сейчас скрипт без ошибки
     
    1 человеку нравится это.
  14. Шевченко Иван
    Оффлайн

    Шевченко Иван Активный пользователь

    Сообщения:
    116
    Симпатии:
    0
    выполнил 4 пункт
     
  15. Techno
    Оффлайн

    Techno Ассоциация VN

    Сообщения:
    881
    Симпатии:
    407
    Ок, ждем пункты 5 и 6.
     
    Последнее редактирование: 18 июл 2011
  16. Шевченко Иван
    Оффлайн

    Шевченко Иван Активный пользователь

    Сообщения:
    116
    Симпатии:
    0
    проверяет по 5 пункту, через часик думаю скину.
     
  17. Techno
    Оффлайн

    Techno Ассоциация VN

    Сообщения:
    881
    Симпатии:
    407
    Да, и по окончании проверки, лог прикрепите, а сам MBAM пока не закрывайте.
     
  18. Шевченко Иван
    Оффлайн

    Шевченко Иван Активный пользователь

    Сообщения:
    116
    Симпатии:
    0
    вот сделал последние пункты
     

    Вложения:

  19. Techno
    Оффлайн

    Techno Ассоциация VN

    Сообщения:
    881
    Симпатии:
    407
    1. Выполните в АВЗ:
    Код (Text):

    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearQuarantine;
     QuarantineFile('C:\Windows\btc_client_iplist.txt','');
     QuarantineFile('C:\Windows\w_distrib_iplist.txt','');
     QuarantineFile('C:\Windows\iecheck_iplist.txt','');
     QuarantineFile('C:\Windows\ddh_iplist.txt','');
     QuarantineFile('C:\Windows\iplist.txt','');
     QuarantineFile('C:\Windows\front_ip_list.txt','');
     QuarantineFile('C:\Windows\winlog-ids.txt','');
     QuarantineFile('C:\Windows\winlog-dirs.txt','');
     DeleteFile('C:\Windows\unrar.exe');
     DeleteFile('C:\Windows\myunrar2.exe');
     DeleteFile('C:\Windows\btc_client_iplist.txt');
     DeleteFile('C:\Windows\w_distrib_iplist.txt');
     DeleteFile('C:\Windows\iecheck_iplist.txt');
     DeleteFile('C:\Windows\ddh_iplist.txt');
     DeleteFile('C:\Windows\iplist.txt');
     DeleteFile('C:\Windows\front_ip_list.txt');
     DeleteFile('C:\Windows\winlog-ids.txt');
     DeleteFile('C:\Windows\winlog-dirs.txt');
     DeleteFile('C:\WINDOWS\SERVICES32.EXE');
     RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wxpdrivers');
     RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\SafeBoot\Network\wxpdrivers');
     RegKeyParamDel ('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico');
     RegKeyParamDel ('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico1');
     RegKeyParamDel ('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico2');
     RegKeyParamDel ('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico3');
     RegKeyParamDel ('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico4');
     RegKeyParamWrite('HKLM','SYSTEM\CurrentControlSet\Control\SafeBoot','AlternateShell','REG_SZ', 'cmd.exe');
     DeleteFileMask('C:\Windows\rpcminer','*.*',true);
     DeleteFileMask('C:\Windows\av_ico','*.*',true);
     DeleteFileMask('c:\Users\user.comp\doctorweb\quarantine','*.*',true);
     DeleteDirectory('C:\Windows\rpcminer');
     DeleteDirectory('C:\Windows\av_ico');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
     ExecuteRepair(13);
    RebootWindows(true);
    end.
     
    Компьютер перезагрузится!!!

    После перезагрузки:

    2. Выполните в АВЗ:
    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Загрузите quarantine.zip из папки АВЗ через эту форму.

    3. Пофиксите в HijackThis:
    Код (Text):

    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;vkontakte.ru;www.vkontakte.ru;vk.com;www.vk.com
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
     
    Это Вам знакомо?
    Код (Text):
    C:\Windows\Domino.exe
    c:\astashellg\Shell\tools\internat.exe
    4. Повторите логи АВЗ и РСИТ.
     
    Последнее редактирование: 18 июл 2011
  20. Шевченко Иван
    Оффлайн

    Шевченко Иван Активный пользователь

    Сообщения:
    116
    Симпатии:
    0
    c:\astashellg\Shell\tools\internat.exe
    начало c:\astashellg\Shell\
    там находится программа для блокировки компьютера в игровом зале.
    что такое tools\internat.exe не знаю завтра на работе гляну с утра и скажу.


    C:\Windows\Domino.exe
    это мне не знакомо.

    с утра выполню и сделаю пункты все.
    СПАСИБО ЗА ПОМОЩЬ!:)
     
    Последнее редактирование: 18 июл 2011
Статус темы:
Закрыта.

Поделиться этой страницей