1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Решена Надоели вирусы!!! Помогите!!!

Тема в разделе "Удаление компьютерных вирусов", создана пользователем Elka, 28 фев 2009.

Статус темы:
Закрыта.
  1. Elka

    Elka Активный пользователь

    Сообщения:
    13
    Симпатии:
    0
    Началось все с того, что перестали открываться антивирусные сайты. Перестал загружаться в обычном режиме CureIT (в безопасном режиме проблем с ним нет). После проверки SDFix сайты открываются, а CureIT все также - появляется окно "setup.exe - обнаружена ошибка. Приложение будет закрыто". Посоветуйте, пожалуйста, как избавиться от гадов...
     
  2. Добро пожаловать!

    Вы обратились в раздел лечения форума Safezone.cc!

    Если Вы этого еще не сделали, выполните пожалуйста правила оформления запроса и прикрепите полученные логи к своему следующему сообщению.

    Ожидайте ответа консультанта.

    Помните, что помощь оказывается бесплатно в свободное от других занятий время.

    Благодарим за ожидание.

     
  3. ТроПа

    ТроПа Активный пользователь

    Сообщения:
    398
    Симпатии:
    727
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\VFTWX3AG\pin[1].exe','');
     QuarantineFile('yes.exe','');
     QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll','');
     QuarantineFile('C:\WINDOWS\system32\twex.exe','');
     DeleteFile('C:\WINDOWS\system32\twex.exe');
     DeleteFile('C:\WINDOWS\system32\msvcrt57.dll');
     DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\VFTWX3AG\pin[1].exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Прислать карантин (файл quarantine.zip из папки AVZ) на адрес 54712<at>rambler.ru где <at> - это @. В письме укажите ссылку на тему.

    Cкачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log

    Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

    1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
    2. Запустите combofix.exe, когда процесс завершится лог сохраниться в файл C:\ComboFix.txt

    Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

    Выложите новые логи АВЗ и Комбофикс и Гмер. И C:\Report.txt прикрипите к сообщению.
     
  4. Elka

    Elka Активный пользователь

    Сообщения:
    13
    Симпатии:
    0
    Сообщение так и не удалось отправить, возвращается назад.:unknw: Новые логи выкладываю. А что делать с карантином АВЗ и C:\Report.txt, сюда же выложить?
     
  5. ТроПа

    ТроПа Активный пользователь

    Сообщения:
    398
    Симпатии:
    727
    C:\Report.txt - да выложите. Карантин не надо.

    yes.exe - попробуйте поискать при помощи АВЗ--сервис--поиск файлов на диске. Напишите если найдётся.

    Включите показ скрытых и системных файлов, если он у вас отключен, найдите
    c:\windows\system32\57FFB51F78.sys
    c:\windows\system32\KGyGaAvL.sys

    и проверьте их на virustotal.com а у нас дайте ссылки на результаты проверки файлов

    Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ с паролем virus и пришлите на [​IMG] с указанием ссылки на тему и файл quarantine.zip из папки AVZ тудаже попробуйте выслать
     
    Последнее редактирование: 28 фев 2009
  6. Elka

    Elka Активный пользователь

    Сообщения:
    13
    Симпатии:
    0
    выложила
     
  7. Elka

    Elka Активный пользователь

    Сообщения:
    13
    Симпатии:
    0
    хттп://www.virustotal.com/ru/analisis/e7bc4dae24f55a9ee554a09821bff798
    хттп://www.virustotal.com/ru/analisis/24b7f9caf677a16331e64e9f56ffa70c

    yes.exe - не нашла
     
  8. ТроПа

    ТроПа Активный пользователь

    Сообщения:
    398
    Симпатии:
    727
  9. Elka

    Elka Активный пользователь

    Сообщения:
    13
    Симпатии:
    0
    логи RSIST повторила. Компьютер ведет себя гораздо лучше. Все первоначальные проблемы исчезли, т.е. и сайты и CureIT открываются. Неужели на этом все?!!:yahoo:
     
  10. ТроПа

    ТроПа Активный пользователь

    Сообщения:
    398
    Симпатии:
    727
    Да. Теперь меняйте все пароли, т.к. один из вирусов у Вас был LdPinch.

    Для деинсталяции ComboFix с компьютера необходимо выполнить:
    Нажать Пуск затем Выполнить в окне наберите команду Combofix /u (обязательно нужен пробел между х и /), нажмите кнопку "ОК"
    [​IMG]

    перед удалением гмера в папке Windows найдите файл gmer_uninstall.cmd запустите его, после удалите gmer_uninstall.cmd и gmer.ini, теперь можно удалять папку с Гмером.

    Перед удалением АВЗ меню файл--стандартные скрипты, ставите галочку возле пункта 6 Удалние всех драйверов и ключей реестра AVZ. Выполнить отмеченный скрипты. после этого удаляйте папку с АВЗ.
     
  11. Elka

    Elka Активный пользователь

    Сообщения:
    13
    Симпатии:
    0
    Здорово!!! Спасибо большое! Ну, тогда уже для успокоения, почему в АВЗ при запуске станд.скриптов №3 выдается нижеследующий отчет:

    Маскировка процесса с PID=3024, имя = "setup.exe", полное имя = "\Device\HarddiskVolume1\DOCUME~1\9335~1\LOCALS~1\Temp\RarSFX0\setup.exe"
    >> обнаружена подмена PID (текущий PID=3636, реальный = 3024)
    >> обнаружена подмена имени, новое имя = "avz.exe
    "


    1.5 Проверка обработчиков IRP
    \FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 863671F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 863671F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_EA] = 863671F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_EA] = 863671F8 -> перехватчик не определен


    Так и должно быть?
     
    Последнее редактирование: 28 фев 2009
  12. akok

    akok Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    13.792
    Симпатии:
    14.814
    Скачайте OTCleanIt, запустите, нажмите Clean up

    setup.exe - похоже cureit

    Acrobat 7.0 - сменить на Acrobat 9.0
    Дочистим мусор :)
    Пофиксить в HijackThis следующие строчки
    Код (Text):
     O24 - Desktop Component 0: (no name) - http://www.winda.ru/photo/files/big/DNaturenature_374.jpg
    O24 - Desktop Component 1: (no name) - http://www.winda.ru/photo/files/big/DPrirodab4732.jpg
    O24 - Desktop Component 2: (no name) - http://www.winda.ru/photo/files/big/DPictureslandscape57.JPG
    O24 - Desktop Component 3: (no name) - http://www.winda.ru/photo/files/big/DPicturesCAT_0030.JPG
    O24 - Desktop Component 4: (no name) - http://www.winda.ru/photo/files/big/DNature72-1024.JPG
    O24 - Desktop Component 5: (no name) - http://www.winda.ru/photo/files/small/DNaturenature_437.jpg
    O24 - Desktop Component 6: (no name) - http://img.blogonline.ru/bl/posts/thumbs/70/1178388470_1_53.jpg
     
    Скачайте OTMoveIt3 by OldTimer или с зеркала и сохраните на рабочий стол.
    Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
    временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
    Код (Text):

    :Processes
    explorer.exe

    :Services
    ajpzfedx
    :Files
    C:\WINDOWS\system32\drivers\ajpzfedx.sys
    :Reg

    :Commands
    [purity]
    [emptytemp]
    [start explorer]
    [Reboot]
     
    В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.
    Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
     
  13. ТроПа

    ТроПа Активный пользователь

    Сообщения:
    398
    Симпатии:
    727
    Ну это вполне может быть. т.к. некоторые программы загружают часть кода в оперативную память и потом понять кто это сделал непонятно.

    Это запускалось что-то из архива.
     
  14. ТроПа

    ТроПа Активный пользователь

    Сообщения:
    398
    Симпатии:
    727
    После полного анализа карантинов
    msvcrt57.dll - Trojan-PSW.Win32.WebMoner.ea, pin[1].exe - Trojan-PSW.Win32.LdPinch.grh, twex.exe - Trojan-Spy.Win32.Zbot.omn, qmgr0.dat, qmgr1.dat - Trojan-Downloader.Win32.Pif.ng
     
  15. akok

    akok Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    13.792
    Симпатии:
    14.814
    Меняйте все пароли.
     
  16. Elka

    Elka Активный пользователь

    Сообщения:
    13
    Симпатии:
    0
    Спасибо всем огромное! Все рекомендации выполнила. :good3:
     
Загрузка...
Похожие темы - Надоели вирусы Помогите
  1. Elena
    Ответов:
    9
    Просмотров:
    150
  2. asdf
    Ответов:
    7
    Просмотров:
    354
  3. Zerol213
    Ответов:
    15
    Просмотров:
    1.046
  4. Timofey
    Ответов:
    5
    Просмотров:
    602
  5. Serega40in
    Ответов:
    1
    Просмотров:
    354
  6. Svetik47
    Ответов:
    12
    Просмотров:
    819
Статус темы:
Закрыта.

Поделиться этой страницей