1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Решена Net-Worm.Win32.Kolab

Тема в разделе "Удаление компьютерных вирусов", создана пользователем laktur, 17 авг 2009.

Статус темы:
Закрыта.
  1. laktur

    laktur Активный пользователь

    Сообщения:
    8
    Симпатии:
    0
    как удалить Net-Worm.Win32.Kolab
     
    Последнее редактирование: 17 авг 2009
  2. Добро пожаловать!

    Вы обратились в раздел лечения форума Safezone.cc!

    Если Вы этого еще не сделали, выполните пожалуйста правила оформления запроса и прикрепите полученные логи к своему следующему сообщению.

    Ожидайте ответа консультанта.

    Помните, что помощь оказывается бесплатно в свободное от других занятий время.

    Благодарим за ожидание.

     
  3. ТроПа

    ТроПа Активный пользователь

    Сообщения:
    398
    Симпатии:
    727
    АВГ и Касперсий, нужно оставить кого-то одного.

    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
    Код (Text):
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\msrtm32.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0725059280-5220979623-037252570-4163\mwau.exe','');
     QuarantineFile('c:\windows\waw32.exe','');
     TerminateProcessByName('c:\windows\waw32.exe');
     QuarantineFile('c:\windows\system32\sysmgr.exe','');
     TerminateProcessByName('c:\windows\system32\sysmgr.exe');
     DeleteFile('c:\windows\system32\sysmgr.exe');
     DeleteFile('c:\windows\waw32.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-0725059280-5220979623-037252570-4163\mwau.exe');
     DeleteFile('C:\WINDOWS\msrtm32.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Затем в АВЗ выполните
    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    2.Пофиксить в HijackThis следующие строчки
    Код (Text):

    R3 - URLSearchHook: (no name) -  - (no file)
    O2 - BHO: (no name) - {0536A7D5-62BC-426C-992C-647180FDDE0C} - (no file)
    O2 - BHO: XBTB04482 Class - {086FBD6F-065A-432f-AA3E-D09594794B09} - (no file)
    O2 - BHO: (no name) - {DC4E23A4-3E93-4320-AD33-CD4D2A5F0287} - (no file)
    O2 - BHO: cyvlibP - {E0E2F84E-371A-4537-A0A0-902646E8ADE4} - (no file)
    O3 - Toolbar: (no name) - {01E69986-A054-4C52-ABE8-EF63DF1C5211} - (no file)
    Архив quarantine.zip из папки с АВЗ загрузите по ссылке

    В АВЗ включите AVZPM и повторите логи.
     
  4. laktur

    laktur Активный пользователь

    Сообщения:
    8
    Симпатии:
    0
    спасибо громадное!
    что значит повторите логи?

    Добавлено через 1 минуту 59 секунд
    АВГ и Касперсий, нужно оставить кого-то одного
    имелось ввиду АВЗ?
     
  5. akok

    akok Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    13.666
    Симпатии:
    14.843
    laktur, имеется в виду повторить все шаги для получения нового комплекта логов (необходимо проконтролировать удаление).


    Нет, в логах заметны остатки антивируса AVG.
     
  6. laktur

    laktur Активный пользователь

    Сообщения:
    8
    Симпатии:
    0
    новые логи
     
  7. laktur

    laktur Активный пользователь

    Сообщения:
    8
    Симпатии:
    0
    да, еще у меня загрузилась total security, которая блокирует открытие в том числе и AVZ
     
  8. akok

    akok Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    13.666
    Симпатии:
    14.843
    Acrobat 5.0 - обновите до версии Acrobat 9.х

    Понятно. Значит, уйдем от традиционной медицины.


    Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.
    Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
    временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
    Код (Text):

    :Processes
    explorer.exe

    :Services

    :Files
    C:\WINDOWS\system32\sysio.exe
    C:\DOCUME~1\USER~1.COM\LOCALS~1\Temp\672.exe
    C:\DOCUME~1\USER~1.COM\LOCALS~1\Temp\699.exe
    c:\windows\waw32.exe
    C:\WINDOWS\taskmrg32.exe
    :Reg
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6c4c679f-a4dd-11dd-8d09-000a94131d5b}]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b7fa9507-55a4-11de-8f38-000a94131d5b}]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fcfad4d1-ab1e-11dc-855c-000a94131d5b}]
    :Commands
    [purity]
    [emptytemp]
    [start explorer]
    [Reboot]
     
    В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.
    Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.


    Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

    Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
    - скачайте ATF Cleaner или с зеркала, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли
    - если вы используете Opera, нажмите Opera - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли

    Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

    1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
    2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
    Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe
    Подробнее можно прочитать в руководстве

    Скачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его.
     
  9. laktur

    laktur Активный пользователь

    Сообщения:
    8
    Симпатии:
    0
    не отключается total security version 4.52
    и блокирует запуск всех программ, пишет file is infected
     
  10. akok

    akok Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    13.666
    Симпатии:
    14.843
    Всех? MBAM, ComboFix, OTM?

    Давайте попробуем запустить полиморфную версию AVZ

    Добавлено через 6 минут 28 секунд
    Если запустится, то выполните скрипт.
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\Documents and Settings\User.COMP\Application Data\elefundesktops\_wallpaper\wallpaper.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\acedrv11.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\nplzqgxu.sys','');
     DeleteFile('c:\windows\waw32.exe');
     DeleteFile('c:\documents and settings\all users.windows\application data\18450784\18450784.exe');
     DeleteFile('C:\Documents and Settings\All Users.WINDOWS\Application Data\18450784\18450784.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-3147116714-4690959723-530169093-6146\mwau.exe');
     BC_ImportALL;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.

    Полученный архив прикрепите к своей теме с карантином.

    Повторите логи полиморфной версии AVZ.

    Добавлено через 8 часов 7 минут 39 секунд
    Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его.
     
  11. laktur

    laktur Активный пользователь

    Сообщения:
    8
    Симпатии:
    0
    Здравствуйте!!!...в ходе тяжелих и изнурительных боев на протяжении 8часов..всетаки удалось отключить Total Secure и провести сканрование.... OTM, Malwarebytes' Anti-Malware, ComboFix, AVZ....каждая из них постаралась на славу и нашла от 2 до 40 проблем...логи всех выше перечисленых программ шлю.. и жду от Вас ответа Gmer еще ведет тяжелые бои поетому отправлю завтра:)
     
  12. akok

    akok Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    13.666
    Симпатии:
    14.843
    Проверьте на www.virustotal.com (ссылки на результаты анализа запостите в этой теме)

    c:\program files\_DEISREG.ISR
    c:\windows\system32\drivers\ubohci.sys
    c:\windows\system32\drivers\ubsbp2.sys
    c:\windows\system32\Adobe\Shockwave 11\nssstub.exe

    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код (Text):
    KillAll::

    File::
    c:\windows\system32\Drivers\nplzqgxu.sys
    c:\windows\system32\drivers\gzasrmsn.sys
    G:\damrnj.exe
    G:\LaunchU3.exe
    c:\windows\is-TD4HN.exe
    c:\windows\system32\drivers\uzmzmjex.sys
    c:\documents and settings\User.COMP\khgugi.exe
    c:\documents and settings\NetworkService.NT AUTHORITY\ihcfxdy.exe
    NetSvc::
    yycgkn
    mxtnvdu
    oamzon

    Driver::
    nplzqgxu
    gzasrmsn
    yycgkn
    mxtnvdu
    oamzon
    Folder::

    Registry::
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6c4c679f-a4dd-11dd-8d09-000a94131d5b}]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b7fa9507-55a4-11de-8f38-000a94131d5b}]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fcfad4d1-ab1e-11dc-855c-000a94131d5b}]
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "8910:TCP"=-
    FileLook::
    c:\windows\system32\drivers\gzasrmsn.sys
    c:\windows\system32\drivers\tcpip.sys
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
    [​IMG]
    Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
     
  13. laktur

    laktur Активный пользователь

    Сообщения:
    8
    Симпатии:
    0
    Еще раз здравствуйте! вото только закончил сканирование Gmer вотего лог..
     
  14. akok

    akok Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    13.666
    Симпатии:
    14.843
    laktur, хорошо. Комбофикс показал все. Жду лог после выполнения рекомендаций.
     
  15. laktur

    laktur Активный пользователь

    Сообщения:
    8
    Симпатии:
    0
    Вот етот последний
     
  16. akok

    akok Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    13.666
    Симпатии:
    14.843
    Дочистим следы.

    Как самочуствие?
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код (Text):
    KillAll::

    File::

    Driver::

    Folder::

    Registry::
    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\gzasrmsn.sys]
    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\nplzqgxu.sys]
    FileLook::

    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
    [​IMG]
    Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

    Я еще жду результаты анализа на www.virustotal.com
     
Загрузка...
Статус темы:
Закрыта.

Поделиться этой страницей