Решена вирус

Тема в разделе "Лечение компьютерных вирусов", создана пользователем агент, 7 мар 2012.

Статус темы:
Закрыта.
  1. агент
    Оффлайн

    агент Активный пользователь

    Сообщения:
    8
    Симпатии:
    0
    Здравствуйте. У меня проблема следующая: несколько дней назад бороздя просторы инета я получил на свой комп какую-то заразу. Вроде ничего не произошло особенного, но у меня перестал запускаться гуглхром (попробавал переустановить, гугл выдал инфу:Для работы ГХ необходима ОС Windows XP и выше, некоторые функции могут не работать) и какой-то странный файл wZKqzubjWtk.exe попал в автозагрузку, я его оттуда удалил, но вредный файл время от времени сам там появляется. Через программу AnvirTask Manager элемент автозагрузки не отключается, выдаыая при этом ошибку "Процесс не может получить доступ к файлу, так как он занят другим процессом. Кроме того в корне С образовалась папка с 2 файлами (14CA6R9HN4QtF3Q так она назвалась) файлы эти я смог удалить а вот папка никак не хочет удаляться выдавая такую же ошибку.
    И в дополнение к этому иконки "Мой комп" и "Мои доки" стали иметь вид "нераспозного файла"
     

    Вложения:

    • virusinfo_syscure.zip
      Размер файла:
      28,9 КБ
      Просмотров:
      7
    • virusinfo_syscheck.zip
      Размер файла:
      26 КБ
      Просмотров:
      2
    • log.txt
      Размер файла:
      35,3 КБ
      Просмотров:
      5
    • info.txt
      Размер файла:
      16,5 КБ
      Просмотров:
      1
  2. Ботан
    Оффлайн

    Ботан Злостный спам-бот

    Сообщения:
    1.092
    Симпатии:
    194
    Приветствую агент, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
    __________________________________________________

    Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
    • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
    Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.


    __________________________________________________
    С уважением, администрация SafeZone.
     
  3. агент
    Оффлайн

    агент Активный пользователь

    Сообщения:
    8
    Симпатии:
    0
    у меня стоит ХР
     
  4. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.448
    Симпатии:
    13.950
    Сейчас посмотрим.

    Добавлено через 9 минут 44 секунды
    Необходимо пофиксить в HijackThis следующие строчки
    Код (Text):

    O3 - Toolbar: (no name) - {DBBABB93-DDBC-48CA-B6BE-7F85E50D8FC7} - (no file)
    O4 - Startup: wZKqzubjWtk.exe
    1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
    2. Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:
      Код (Text):
      tdsskiller.exe -silent -qmbr -qboot
    3. Запустите файл fix.bat;
    4. Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine;
    5. Заархивруйте эту папку с паролем virus. И отправьте полученный архив на адрес quarantine<at>safezone.cc (at=@), в заголовке (теме) письма укажите ссылку на тему, где Вам оказывается помощь.
    6. Запустите файл TDSSKiller.exe;
    7. Нажмите кнопку "Начать проверку";
    8. В процессе проверки могут быть обнаружены объекты двух типов:
      • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
      • подозрительные (тип вредоносного воздействия точно установить невозможно).
    9. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
    10. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
    11. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
    12. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
    13. Прикрепите лог утилиты к своему следующему сообщению
    По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
    Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
    Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.
     
  5. агент
    Оффлайн

    агент Активный пользователь

    Сообщения:
    8
    Симпатии:
    0
    к п.13 TDSSKiller.exe отчет после проверки


    Необходимо пофиксить в HijackThis следующие строчки
    Код:

    O3 - Toolbar: (no name) - {DBBABB93-DDBC-48CA-B6BE-7F85E50D8FC7} - (no file)
    O4 - Startup: wZKqzubjWtk.exe

    03- удачно
    04- не хочет фиксится никак, после анализа то же самое в отчете
     

    Вложения:

  6. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.448
    Симпатии:
    13.950
    агент, готовьте лог MBAM.

    После -> AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):

    begin
     SetAVZPMStatus(true);
     RebootWindows(false);
    end.
    Выполните третий стандартный скрипт и приложите лог.
     
    1 человеку нравится это.
  7. агент
    Оффлайн

    агент Активный пользователь

    Сообщения:
    8
    Симпатии:
    0
    сделал :
    begin
    SetAVZPMStatus(true);
    RebootWindows(false);
    end.

    сейчас выполняется 3 скрипт пркладываю лог MBAM.
     

    Вложения:

  8. агент
    Оффлайн

    агент Активный пользователь

    Сообщения:
    8
    Симпатии:
    0
    третий стандартный скрипт лог
     

    Вложения:

  9. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.448
    Симпатии:
    13.950
    Повторите сканирование MBAM и удалите следующие строки:
    Код (Text):
    Обнаруженные ключи в реестре:  
    HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-33CF-AAX5-35GX1C642122} (Backdoor.IRCBot) -> Действие не было предпринято.
    HKCU\SOFTWARE\Target Marketing Agency (Adware.TMAagent) -> Действие не было предпринято.
    HKCU\SOFTWARE\WINXGZ (Trojan.Agent) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Fci (Rootkit.Agent) -> Действие не было предпринято.

    Обнаруженные параметры в реестре:  
    HKCU\Software\winxgz|exerunner (Trojan.Agent) -> Параметры: was -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft|option_1 (Rootkit.Agent) -> Параметры: ќљљЌ˜ћ‹љ€ћ†Сњђ’ -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft|option_2 (Rootkit.Agent) -> Параметры: ќђЌ˜Иђ™ЖСњђ’ -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft|option_3 (Rootkit.Agent) -> Параметры: ќОЙЛϘ…”Сњђ’РНН’ћ…Л†‘’‹—СЏ—Џ -> Действие не было предпринято.

    Обнаруженные папки:  
    C:\Program Files\Common Files\wm\keys (Trojan.KeyLog) -> Действие не было предпринято.
    C:\Documents and Settings\Сергей\Local Settings\Application Data\Target Marketing Agency (Adware.TMAagent) -> Действие не было предпринято.

    Обнаруженные файлы:  
    C:\Documents and Settings\Сергей\Application Data\Microsoft\Document Building Blocks\1025\Build\index\reclick32.dll (Backdoor.IRCFlood) -> Действие не было предпринято.
    C:\Documents and Settings\Сергей\Application Data\Microsoft\Installer\{B6BCCB80-B3FC-4E97-8513-A7BEE73A5C5A}\reclick32.dll (Backdoor.IRCFlood) -> Действие не было предпринято.
    C:\Documents and Settings\Сергей\Главное меню\Программы\Автозагрузка\wZKqzubjWtk.exe (Trojan.Agent.PE5) -> Действие не было предпринято.
    C:\Microsoft\Document Building Blocks\1025\Build\index\71793066.INS (Backdoor.IRCFlood) -> Действие не было предпринято.
    D:\АнтиВир\HiJackThis\backups\backup-20120307-152154-711-wZKqzubjWtk.exe (Trojan.Agent.PE5) -> Действие не было предпринято.
    D:\АнтиВир\HiJackThis\backups\backup-20120307-152207-448-wZKqzubjWtk.exe (Trojan.Agent.PE5) -> Действие не было предпринято.
    D:\АнтиВир\HiJackThis\backups\backup-20120307-152255-942-wZKqzubjWtk.exe (Trojan.Agent.PE5) -> Действие не было предпринято.
    D:\АнтиВир\HiJackThis\backups\backup-20120307-154650-660-wZKqzubjWtk.exe (Trojan.Agent.PE5) -> Действие не было предпринято.
    C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> Действие не было предпринято.
    C:\Documents and Settings\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> Действие не было предпринято.
    C:\Documents and Settings\Сергей\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
    Добавлено через 1 минуту 24 секунды
    +

    Скачайте DDS и сохраните на рабочий стол, отключите антивирус и запустите dds.scr, когда сканирование закончится, DDS.txt и Attach.txt запакуйте файлы и вложите в сообщение.

    Подготовьте лог SecurityCheck by screen317
     
    2 пользователям это понравилось.
  10. агент
    Оффлайн

    агент Активный пользователь

    Сообщения:
    8
    Симпатии:
    0
    немного не понял... где удалять в MBAM???
    вот последний лог из MBAM

    непонятности всякие пропали, гугл гуглит. Но знаки так и не вернулись на место, плюсом превратились значки диска D E и F в "неопознанные файлы"
     

    Вложения:

  11. агент
    Оффлайн

    агент Активный пользователь

    Сообщения:
    8
    Симпатии:
    0
    все логи в архиве
     

    Вложения:

  12. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.448
    Симпатии:
    13.950
    Что необходимо сделать сейчас.

    1. Обновить Windows XP до SP3 (возможно потребуется повторная активация).
    Код (Text):
    http://windows.microsoft.com/ru-RU/windows/help/learn-how-to-install-windows-xp-service-pack-3-sp3
    http://www.microsoft.com/downloads/ru-ru/details.aspx?familyid=5b33b5a8-5e76-401f-be08-1e1555d4f3d4
    2. Обновить Internet Explorer 6 до последней актуальной версии
    Код (Text):
    http://www.microsoft.com/downloads/ru-ru/details.aspx?FamilyID=341c2ad5-8c3d-4347-8c03-08cdecd8852b
    3. Adobe Reader 9 обновить до последней актуальной версии или деинсталировать.

    4. Смените пароли. Зловред который у вас был специализируется на краже паролей.

    Добавлено через 2 минуты 38 секунд
    Давайте попробуем воспользоваться
    Tweak UI -> Repair -> Rebuild Icons -> Repair Now.

    Добавлено через 1 минуту 19 секунд
    Деинсталируем AVZ
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):

    begin
     ExecuteStdScr(6);
     RebootWindows(false);
    end.
    После выполнения скрипта компьютер перезагрузится.
     
  13. агент
    Оффлайн

    агент Активный пользователь

    Сообщения:
    8
    Симпатии:
    0
    Tweak UI -> Repair -> Rebuild Icons -> Repair Now.
    это помогло. Всё вернулось на свои места.
    Только вот боюсь обновлять ОС из-за возможной повторной активации.
    Мне знакомый её устанавливал, и я не совсем уверен, что она лицензионная)
    Заново не смогу активировать
     
  14. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.448
    Симпатии:
    13.950
    агент, тогда готовьтесь к постоянным заражениям системы.
     
Статус темы:
Закрыта.

Поделиться этой страницей