1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Решена Кидо и компания

Тема в разделе "Удаление компьютерных вирусов", создана пользователем Влачер, 28 апр 2010.

Статус темы:
Закрыта.
  1. Влачер

    Влачер Активный пользователь

    Сообщения:
    106
    Симпатии:
    290
    Коллега по работе пожаловался, что какие то окошки на домашнем компе стали выскакивать. Стояла Авира ПСС, но оказалось, что её успешно съели (зонтик сложен и строка сканера в контекстном меню неактивна). Было заблокировано системное восстановление, cureit просто подвисал на месте и не работал. Начал с МБАМ- удалилось около 15 объектов - трояны, руткит, хвосты червя. После этого cureit запустился и нашёл ещё 8 шт. Потом через ливсиди запустил AVPTool-нашёл главного виновника, которого ни веб, ни МБАМ не видели. После этого установилась и заработала Авира. Системное восстановление восстановил через АВЗ(но галочку снял). В безопасном режиме комп не запускается, сообщает об ошибке и просит запустить последнюю удачную конфигурацию. Надо сказать, что стояла хрюша с непатченным СП-1.:eek:Пришлось поставить СП3 и патчи 44,87. Ещё заметил, что система долго завершает работу- по 3-5 мин. Пока авз сканирует, кладу лог хиджака, коечто мне там не нравится, но авира со свежими базами ничего практически не нашла. Работоспособность интернета на проверял, хостфайл был размером более 4,5 Мб, сплошные абракозябры, просто взял и заменил файлом с другого компа.
     

    Вложения:

    • hijackthis.zip
      Размер файла:
      2,4 КБ
      Просмотров:
      5
  2. Добро пожаловать!

    Вы обратились в раздел лечения форума Safezone.cc!

    Если Вы этого еще не сделали, выполните пожалуйста правила оформления запроса и прикрепите полученные логи к своему следующему сообщению.

    Ожидайте ответа консультанта.

    Помните, что помощь оказывается бесплатно в свободное от других занятий время.

    Благодарим за ожидание.

     
  3. akok

    akok Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    13.667
    Симпатии:
    14.845
    Система заражена. Ждем логи AVZ для комплексного лечения.
     
    2 пользователям это понравилось.
  4. Влачер

    Влачер Активный пользователь

    Сообщения:
    106
    Симпатии:
    290
    Конечно же после такого зверинца можео ждать чего угодно. Логи
     

    Вложения:

  5. Влачер

    Влачер Активный пользователь

    Сообщения:
    106
    Симпатии:
    290
    Появлюсь завтра вечером. Забыл сказать, что менял explorer.exe/ У него дата изменения была как раз тогда, когда эта бодяга началась
     
    Последнее редактирование: 28 апр 2010
  6. akok

    akok Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    13.667
    Симпатии:
    14.845
    Пофиксить в HijackThis следующие строчки
    Код (Text):
    F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\windows\system32\718eb4a6.exe,\\?\globalroot\systemroot\system32\4yjh6rg.exe,
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\windows\system32\fusservices.exe','');
     QuarantineFile('c:\windows\system32\srvany.exe','');
     QuarantineFile('c:\docume~1\9335~1\locals~1\temp\imspqmn.sys','');
     QuarantineFile('c:\program files\plugin.exe','');
     QuarantineFile('c:\windows\system32\718eb4a6.exe','');
     QuarantineFile('c:\windows\system32\4yjh6rg.exe','');
     DeleteFile('c:\windows\system32\4yjh6rg.exe');
     DeleteFile('c:\windows\system32\srvany.exe');
     DeleteFile('c:\docume~1\9335~1\locals~1\temp\imspqmn.sys');
     DeleteFile('c:\program files\plugin.exe');
     DeleteFile('c:\windows\system32\718eb4a6.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','plugin');
     DeleteService('reset 5');
     DeleteService('imspqmn');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.

    Полученный архив необходимо загрузить при помощи этой формы:
    1. Выберите тип запроса "неизвестная вредоносная программа" и введите изображенное на картинке число, нажмите "Далее".
    2. В окне "Подробное описание возникшей ситуации" наберите "Пароль: virus".
    3. Прикрепите файл карантина и нажмите "Далее".
    4. Если размер карантина превышает 1,5 мб, то карантин отправьте по адресу newvirus@kaspersky.com

    Добавлено через 15 секунд
    Повторите логи.
     
    8 пользователям это понравилось.
  7. Влачер

    Влачер Активный пользователь

    Сообщения:
    106
    Симпатии:
    290
    Пофиксил, скрипт выполнился без ошибок. Карантин отправил, правда он какой то жидки получился. Кладу пока хиджака, авз ещё работает:mad:
    Одна штука осталась(а может и не одна):sorry:
     

    Вложения:

    Последнее редактирование: 29 апр 2010
  8. Влачер

    Влачер Активный пользователь

    Сообщения:
    106
    Симпатии:
    290
    Вот ответ ЛК

    Вот ещё ссылка http://windows-processes.thefile.net/tasks/char_F.html
    Безопасный режим по прежнему не запускается
     
    Последнее редактирование: 29 апр 2010
  9. icotonev

    icotonev Ассоциация VN

    Сообщения:
    1.420
    Симпатии:
    1.654
    Последнее редактирование: 29 апр 2010
    2 пользователям это понравилось.
  10. akok

    akok Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    13.667
    Симпатии:
    14.845
    Пофиксить в HijackThis следующие строчки
    Код (Text):
        O20 - Winlogon Notify: reset5 - C:\WINDOWS\
    Скачайте GMER по одной из указанных ссылок:
    Gmer со случайным именем, Gmer в zip-архиве (перед применением распаковать в отдельную папку)
    - Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
    Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
    После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
    • Sections
    • IAT/EAT
    • Show all
    Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
    - Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
    После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
     
    2 пользователям это понравилось.
  11. Влачер

    Влачер Активный пользователь

    Сообщения:
    106
    Симпатии:
    290
    Натюрлих!!! Арбайтен!!!:)
     
  12. Влачер

    Влачер Активный пользователь

    Сообщения:
    106
    Симпатии:
    290
    логи
     

    Вложения:

    • log.log
      Размер файла:
      10,8 КБ
      Просмотров:
      4
  13. akok

    akok Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    13.667
    Симпатии:
    14.845
    Чисто. Что с проблемами?
     
    2 пользователям это понравилось.
  14. Влачер

    Влачер Активный пользователь

    Сообщения:
    106
    Симпатии:
    290
    Хозяева компа благодарны, интернет работает.Спасибо всему сообществу:victory::bye:
     
    6 пользователям это понравилось.
Статус темы:
Закрыта.

Поделиться этой страницей