Решена Вирусы снова одолели

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Elka, 29 июн 2009.

Статус темы:
Закрыта.
  1. Elka
    Оффлайн

    Elka Активный пользователь

    Сообщения:
    13
    Симпатии:
    0
    Добрый день! Снова обращаюсь к вам за помощью, завелась, явно, какая-то дрянь. Не могу скачать файлы с Депозита, пишет, что с моего IP уже идет скачивание. А я ни сном, ни духом... Посмотрите, пожалуйста...
     
  2. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     SetServiceStart('f29a3d56', 4);
     QuarantineFile('C:\WINDOWS\web\related.htm','');
     QuarantineFile('C:\WINDOWS\System32\drivers\f29a3d56.sys','');
     QuarantineFile('C:\WINDOWS\System32\DRIVERS\iomdisk.sys','');
     QuarantineFile('c:\windows\system32\servises.exe','');
     DeleteFile('c:\windows\system32\servises.exe');
     DeleteFile('C:\WINDOWS\System32\drivers\f29a3d56.sys');
     DeleteService('f29a3d56');
     BC_ImportALL;
     ExecuteSysClean;
     BC_Activate;
     ExecuteRepair(9);
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.

    Полученный архив прикрепите к новой теме в этом разделе.

    Пофиксить в HijackThis следующие строчки
    Код (Text):
        O4 - S-1-5-18 Startup: is-GK74N.lnk = ? (User 'SYSTEM')
        O4 - .DEFAULT Startup: is-GK74N.lnk = ? (User 'Default user')
               O4 - Startup: is-GK74N.lnk = ?

    Скачайте и распакуйте в отдельную папку - Registry Search (зеркало)

    Запустите утилиту.
    В верхнем окне, предназначенном для поиска введите fystemroot
    [​IMG]
    и нажмите кнопку "OK".

    В блокноте откроется текст, скопируйте его и вставьте в следующее сообщение.

    Повторите логи.
     
  3. Elka
    Оффлайн

    Elka Активный пользователь

    Сообщения:
    13
    Симпатии:
    0
    Новые логи
     
  4. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Elka, проведите пожалуйста поиск в реестре.

    По инструкции
     
  5. Elka
    Оффлайн

    Elka Активный пользователь

    Сообщения:
    13
    Симпатии:
    0
    провела поиск в реестре по инструкции
     
  6. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Вот славно.
    Сохраните реестр:
    Скачайте ERUNT, установите и запустите, выберите папку для сохранения, в разделе Backup options должны быть отмечены галочками строчки "System registry" , "Current user registry" и "Other open user registries", нажмите "Ok" и подтвердите создание папки.

    Теперь: пуск - выполнить - regedit и по указанным путям (пути смотрим в отчете утилиты) измените
    Код (Text):
    %fystemroot%\system32\svchost.exe -k netsvcs
    на

    Код (Text):
    %[color=Red][b]s[/b][/color]ystemroot%\system32\svchost.exe -k netsvcs
    После окончания действий перезагрузитесь.... это должно окончательно восстановить функциональность.

    Добавлено через 3 минуты 1 секунду
    P>S> После изменений еще раз проведите поиск при помощи Registry Search.
     
    4 пользователям это понравилось.
  7. Elka
    Оффлайн

    Elka Активный пользователь

    Сообщения:
    13
    Симпатии:
    0
    Почему-то не получается изменить коды. Посмотрите вложение, может я что-то не то делаю
     
  8. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

    попробуем так.
     
    2 пользователям это понравилось.
  9. Elka
    Оффлайн

    Elka Активный пользователь

    Сообщения:
    13
    Симпатии:
    0
    Выкладываю полученный лог. Результат еще тот...:mda:
     
    Последнее редактирование: 30 июн 2009
  10. ТроПа
    Оффлайн

    ТроПа Активный пользователь

    Сообщения:
    399
    Симпатии:
    738
    Ну так а почему не удалили предложенное? Среди всего этого один "кряк" и куча мусора после борьбы со зловредами.

    Добавлено через 8 минут 58 секунд
    На каждом найденном ключе реестра вида HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\BITS (в окне слева) нажмите правую кнопку мыши и выбирете пункт Разрешения..., посмотрите, есть ли там в списке администратор, если нет, то добавьте, после этого должно получиться изменить.
     
    2 пользователям это понравилось.
  11. Elka
    Оффлайн

    Elka Активный пользователь

    Сообщения:
    13
    Симпатии:
    0
    Я все удалила сразу же, перезагрузила комп, опять провела тестирование, еще две фигни обнаружились. Удалила, после перезагрузки ВСЕ ЧИСТО!!!:good2: Спасибо огромное всем :thank_you2:
     
Статус темы:
Закрыта.

Поделиться этой страницей