Решена x30811.exe (вирус, который грузит систему)

Тема в разделе "Лечение компьютерных вирусов", создана пользователем rutten, 17 дек 2011.

Статус темы:
Закрыта.
  1. rutten
    Оффлайн

    rutten Пользователь

    Сообщения:
    9
    Симпатии:
    0
    Здравствуйте, помогите разобраться с вирусом x30811.exe, который грузит систему.

    По всей видимости данный вирус появился с флешки. На флешке у всех папок поменялись атрибуты - они стали невидимыми (я это исправил с помощью Total Commander ), так же я обнаружил вредоносную программу, которую тоже удалил. Сразу после удаления данной программы воспроизвелась аудио запись, которая гласила "Пощады не будет". Видимо именно после этого мой компьютер заразился.

    Сразу же я принял меры, проверил флешку на вирусы (их там не оказалось, я подумал из-за того, что я их удалил), и проверил компьютер на вируссы, антивирус нашел их. Я думал, что все утряслось. Но при перезагрузке компьютера вирус x30811.exe снова вернулся, а на флешке, при повторной вставке её в компьютер, снова вернулась проблема - все папки стали невидимы, и снова вернулась та вредоносная программа, которую я удалил ранее.
     

    Вложения:

    • virusinfo_syscure.zip
      Размер файла:
      29,3 КБ
      Просмотров:
      3
    • virusinfo_syscheck.zip
      Размер файла:
      28,8 КБ
      Просмотров:
      1
    • info.txt
      Размер файла:
      47,1 КБ
      Просмотров:
      1
    • log.txt
      Размер файла:
      24,8 КБ
      Просмотров:
      4
  2. rutten
    Оффлайн

    rutten Пользователь

    Сообщения:
    9
    Симпатии:
    0
    В log.txt присутствует такая строчка: HijackThis download failed - значит я что-то сделал не правильно?
     
  3. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Привет, смотрю логи, скоро отвечу

    Добавлено через 2 минуты 15 секунд
    Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\documents and settings\artem\application data\regsrv64.exe');
     QuarantineFileF('c:\documents and settings\artem\', '*.exe', false, '', 0, 0);
     QuarantineFile('\\?\globalroot\systemroot\system32\ntfs_ext7.exe','');
     QuarantineFile('\\?\globalroot\systemroot\system32\eBBTMT8.exe','');
     QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
     QuarantineFile('C:\Documents and Settings\artem\Application Data\Ysgogm.exe','');
     QuarantineFile('C:\Documents and Settings\artem\Application Data\Jtgogx.exe','');
     QuarantineFile('C:\DOCUME~1\artem\LOCALS~1\Temp\pdfupd.exe','');
     QuarantineFile('C:\7675700.exe','');
     QuarantineFile('c:\documents and settings\artem\application data\regsrv64.exe','');
     DeleteFile('C:\7675700.exe');
     DeleteFile('C:\DOCUME~1\artem\LOCALS~1\Temp\pdfupd.exe');
     DeleteFile('C:\Documents and Settings\artem\Application Data\Jtgogx.exe');
     DeleteFile('C:\Documents and Settings\artem\Application Data\Ysgogm.exe');
     DeleteFile('C:\Documents and Settings\artem\Application Data\regsrv64.exe');
     DeleteFile('C:\WINDOWS\system32\sdra64.exe');
     DeleteFile('\\?\globalroot\systemroot\system32\eBBTMT8.exe');
     DeleteFile('\\?\globalroot\systemroot\system32\ntfs_ext7.exe');
     DeleteFile('C:\WINDOWS\system32\eBBTMT8.exe');
     DeleteFile('C:\WINDOWS\system32\ntfs_ext7.exe');
     DeleteFileMask('C:\Documents and Settings\artem\Application Data\', '*.exe', false);
     RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\DOCUME~1\artem\LOCALS~1\Temp\pdfupd.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wwwb');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','start 1');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Jtgogx');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Ysgogm');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft DLL Registration');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NTFS_ext_drv');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Generic Host for Win32 Services');
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     if MessageDLG('Заражение Вашего компьютера произошло через автоматический запуск программ на съемных накопителях. Отключить автозапуск?', mtConfirmation, mbYes+mbNo, 0) = 6 then
     RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'NoDriveTypeAutoRun', '221');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
     ExecuteWizard('SCU',2,3,true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится, После перезагрузки:
    - выполните такой скрипт

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Полученный архив из папки с распакованной AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

    Сделайте новые логи AVZ и RSIT

    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
     
  4. rutten
    Оффлайн

    rutten Пользователь

    Сообщения:
    9
    Симпатии:
    0
    Прастите за задержку, долго сканировался компьютер по средствам Malwarebytes' Anti-Malware.

    Все во вложениях.
    Так же вопрос: Malwarebytes' Anti-Malware нашел у меня около 246 вредоносных программ, и предложил удалить их, мне их удалять?
     

    Вложения:

  5. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Кроме кейгена можете все удалять

    Добавлено через 3 минуты 41 секунду
    Пофиксите в HJT:

    Код (Text):
    R3 - URLSearchHook: (no name) - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file)
    R3 - URLSearchHook: (no name) -  - (no file)
    Proxy сами настраивали: 211.233.134.47
     
  6. rutten
    Оффлайн

    rutten Пользователь

    Сообщения:
    9
    Симпатии:
    0
    Под кейгеном вы имете ввиду тот файл на диске Д, в директории: D:\Install\EVEREST_Ultimate_Edition_5.30.1900\Ключи\keygen.exe?
    Если да, то сейчас удалю.
     
  7. rutten
    Оффлайн

    rutten Пользователь

    Сообщения:
    9
    Симпатии:
    0
    Насчет прокси, что вы имеет ввиду? Да я его сам настраивал, но это не столь важно, этот прокси стоит в Интернет Експлорере - но я им не пользуюсь. Это корейский прокси, нужен был для регистрации на корейском сайте.
    ---------------------------------------------------------------
    Я пофиксил - нажал на кнопку Fix checked, а что дальше, появилось пустое окошко, внизу которого много кнопок, одна из них кнопка Scan - мне ее нажимать?
     
    Последнее редактирование: 17 дек 2011
  8. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Еще разик лог RSIT сделайте.

    Как самочувствие системы?
     
  9. rutten
    Оффлайн

    rutten Пользователь

    Сообщения:
    9
    Симпатии:
    0
    Самочуствие системы - прекрассно :) Из-за того, что я делал кучу логов, скриптов и сканирования компьютера, мне приходилось его много раз перезагружать, и после каждой перезагрузки активность вируса не наблюдается, он не включается. И это хорошо :)

    Так мне в программе HijackThis нажимать кнопку Scan после того как я нажал кнопку Fix Cheked? А то программа так и висит открытая :)

    Во вложениях лог RSIT. Только лог, без info.txt (этот файлик почемуто он не сделал).
     

    Вложения:

    • log.txt
      Размер файла:
      38,4 КБ
      Просмотров:
      1
  10. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Все, что надо сделали.

    В логах чисто

    Необходимо очистить ранее созданную точку восстановления и создать новую:
    1. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
    2. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить

    Для предотвращения заражения рекомендуется:
    - не работать за компьютером с правами администратора
    - не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность
    - регулярно устанавливать обновления windows и антивирусного продукта (обновлять антивирусные базы и модули)
     
  11. rutten
    Оффлайн

    rutten Пользователь

    Сообщения:
    9
    Симпатии:
    0
    Все сделано! СПАСИБО ВАМ ОГРОМНОЕ!

    Очень оперативно и понятно! Если бы не вы, то я не знаю, что б я делал :)

    О и чуть не забыл, а что мне делать с моим флеш-носителем? Я конешно удалил с флешки вирус, и проверил его антивирусом, но после того как я высовывал и всовывал флешку заново в компьютер, вирус на ней возвращался.
     
  12. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Автозапуск мы отключили поэтому не должен возвращаться
     
  13. rutten
    Оффлайн

    rutten Пользователь

    Сообщения:
    9
    Симпатии:
    0
    Я имел ввиду как мне почистить флешку от вируса, или если я его оттуда удалил, то он не вернется на флешку.

    Мне просто важно еще починить флешку!
     
  14. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    А с чего им заражаться система-то чиста - если тольк на чужом компьютере
     
  15. rutten
    Оффлайн

    rutten Пользователь

    Сообщения:
    9
    Симпатии:
    0
    Ясно, спасибо!
     
Статус темы:
Закрыта.

Поделиться этой страницей