• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена Ноутбук Acer Aspire 3610 с зловредами

Статус
В этой теме нельзя размещать новые ответы.

Razey

Активный пользователь
Сообщения
575
Симпатии
27
#1
Друг попросил помочь с его стареньким Acer Aspire 3610. Т.к. только учусь лечению, прошу помочь; ноутбук обещал отдать завтра-послезавтра, но если сам буду заниматься, то не раньше чем через 5-7 дней...

* На момент заражения был Windows XP SP2, пользовались в основном IE... Доставил SP3 и последние (с сервис пака и до декабря месяца) обновления, кое-что пролечил, отключил службы т.н. "ненужного" дома функционала (типа "Удаленный реестр" и т.д.)... В процессе работы RSIT выдал ошибку непонятную (воспроизвести не могу - если надо, могу снова его запустить принтскрин снять) со ссылкой на папку автозапуска и файл hosts (его проверил вручную - он в порядке). Также по логам понял, что до CIS стоял NOD32 и он не полностью удален...
 

Вложения

akok

Команда форума
Администратор
Сообщения
13,763
Симпатии
11,588
#2
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
  QuarantineFile('C:\DOCUME~1\МАКС\LOCALS~1\Temp\oUltraf.sys','');
 BC_ImportQuarantineList;
 BC_Activate;
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте при помощи этой формы


Доудалите Nod

Скачайте Malwarebytes' Anti-Malware.

- установите программу и обновите базы

- После запуска программы выбирете пункт "Полное сканирование" и нажмите "Сканирование".

- после окончания сканирования нажмите "ОК" => "Показать результаты". Выберите пункт "Сохранить отчет", сохраните файл который необходимо прикрепить к следующему своему сообщению.
 

Razey

Активный пользователь
Сообщения
575
Симпатии
27
#5
Спасибо, готово! Что еще?
 

icotonev

Ассоциация VN
Сообщения
1,403
Симпатии
1,153
#7
+ Сашка,

  • Скачать OTL.exe и сохранить его на рабочем столе.
  • Запустите файл
    двойной щелчок мыши.
  • Сделайте следующие настройки:



В
с Copy / Paste, введите следующую информацию:

Код:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
beep.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
ahcix86s.sys
KR10N.sys
nvstor32.sys
nvrd32.sys
explorer.exe
svchost.exe
userinit.exe
symmpi.sys
qmgr.dll
ws2_32.dll
proquota.exe
imm32.dll
kernel32.dll
ndis.sys
autochk.exe
spoolsv.exe
xmlprov.dll
ntmssvc.dll
mswsock.dll
ntfs.sys
tcpip.sys
termsrv.dll
sfcfiles.dll
st3shark.sys
srsvc.dll
adp3132.sys
mv61xx.sys
/md5stop
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\drivers\*.sys /90
  • Нажмите на кнопку, выделенные синим цветом:
  • После завершения проверки, будут созданы два файла - OTL.Txt и Extras.Txt..Прикрепите их в следующий комментарий.
 

Razey

Активный пользователь
Сообщения
575
Симпатии
27
#8
MBAM ничего не нашел (лог прикрепил), проверку OTL сделал (логи тоже во вложении)...

* icotonev, когда OTL запускал, у меня не было надписи Include 64bit Scans
 

Вложения

icotonev

Ассоциация VN
Сообщения
1,403
Симпатии
1,153
#9
Запустите снова OTL.exe и с Copy / Paste копировать в поле
следующие скрипт:

Код:
:OTL
SRV - (hpqcxs08) --  File not found
SRV - (AppMgmt) --  File not found
O3 - HKU\S-1-5-21-1789229805-2496361212-2247140631-1005\..\Toolbar\WebBrowser: (Rambler-Ассистент) - {468CD8A9-7C25-45FA-969E-3D925C689DC4} -  File not found
O4 - HKLM..\Run: [ISUSPM]  File not found
O4 - HKLM..\Run: [UpdateReminder]  File not found
O4 - HKU\S-1-5-21-1789229805-2496361212-2247140631-1005..\Run: [AtiTrayTools]  File not found
O4 - HKU\S-1-5-21-1789229805-2496361212-2247140631-1005..\Run: [EvJOWall]  File not found
O4 - HKU\S-1-5-21-1789229805-2496361212-2247140631-1005..\Run: [OM2_Monitor]  File not found
O4 - Startup: C:\Documents and Settings\VALLU\Главное меню\Программы\Автозагрузка\_uninst_setup_9.0.0.722_24.01.2010_16-19.exe.lnk =  File not found
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found

:files
recycler /alldrives
ipconfig /flushdns /c

:Commands
[purity]
[resethosts]
[clearallrestorepoints]
[emptytemp]
[emptyflash]
[Reboot]
После ввода скрипт нажмите кнопку отмечены красным цветом:

Будет создан файл. Вставить в следующем комментарии.
 
Последнее редактирование:

Razey

Активный пользователь
Сообщения
575
Симпатии
27
#10
Скрипт отработал, компьютер сам не перезагрузился (пришлось выключать питание), однако при последующей загрузке файл был создан - прилагаю во вложении...
 

Вложения

icotonev

Ассоциация VN
Сообщения
1,403
Симпатии
1,153
#11
Изменения какие-либо есть? :)
 

Razey

Активный пользователь
Сообщения
575
Симпатии
27
#12
На первый взгляд - никаких... Я так понимаю, это была чистка системы от ссылок на несуществующие файлы?

Добавлено через 3 минуты 2 секунды
Может пошустрее стала система грузиться... + вы еще папки временных каталогов "почистили"?

Добавлено через 1 час 4 минуты 48 секунд
Что дальше делать?
 

Razey

Активный пользователь
Сообщения
575
Симпатии
27
#14
Выполнил... Жду дальнейших указаний... :)
 

Razey

Активный пользователь
Сообщения
575
Симпатии
27
#16
Извините за незнание, а как присвоить теме статус "решено"?
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
13,763
Симпатии
11,588
#17
Извините за незнание, а как присвоить теме статус "решено"?
Это право модераторов после того, как пациент признает, что проблем больше нет.
 
Статус
В этой теме нельзя размещать новые ответы.