Решена Обращаюсь за помощью

Статус
В этой теме нельзя размещать новые ответы.

Denis

Активный пользователь
Сообщения
10
Симпатии
0
Баллы
391
#1
Здравствуйте!
Обращаюсь к Вам за помощью.
1.AVAST при каждом сканировании находил вирусы в памяти и не мог удалить
2.Сканер доступа AVAST не запускался
3.KAV сразу после установки не запускался

Выполнение п.6 инструкции "Что нужно сделать перед запросом о помощи" проходило в безопасном режиме, т.к. avz.exe тоже не запускался, пока я его не переименовал.

Спасибо!
 

akok

Команда форума
Администратор
Сообщения
15,611
Симпатии
12,661
Баллы
2,203
#2
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 SetServiceStart('ws2_32sik', 4);
 SetServiceStart('nicsk32', 4);
 SetServiceStart('netsik', 4);
 SetServiceStart('fips32cup', 4);
 SetServiceStart('amd64si', 4);
 SetServiceStart('acpi32', 4);
 SetServiceStart('BrowserVSS', 4);
 QuarantineFile('C:\Program Files\Common Files\Relive.dll','');
 QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
 QuarantineFile('C:\Program Files\Internet Explorer\msvcrt.dll','');
 QuarantineFile('C:\Documents and Settings\User\User.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\amd64si.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys','');
 QuarantineFile('C:\WINDOWS\system32\1025j.exe','');
 DeleteFile('C:\WINDOWS\system32\1025j.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys');
 DeleteFile('C:\Documents and Settings\User\User.exe');
 DeleteFile('C:\WINDOWS\system32\regedit.exe');
 DeleteFile('C:\Program Files\Common Files\Relive.dll');
 DelBHO('{D3626E66-B13B-C628-ACDF-BDABCFA265E1}');
 DeleteService('acpi32');
 DeleteService('netsik');
 DeleteService('nicsk32');
 DeleteService('ws2_32sik');
 DeleteService('fips32cup');
 DeleteService('amd64si');
 DeleteService('BrowserVSS');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 ExecuteRepair(9);
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив прикрепите к этой теме

Повторите логи.
 

Denis

Активный пользователь
Сообщения
10
Симпатии
0
Баллы
391
#3
Большое спасибо!

Уважаемый AkoK!
Большое Вам спасибо за столь оперативный ответ и действенную помощь!

Подскажите, нужно ли проверять другие ПК, с которыми вылеченная машина находится в сетке, если установленный на них AVAST работает нормально и при глубоком сканировании ничего не находит?

Еще раз спасибо, Вы очень помогли!
 

akok

Команда форума
Администратор
Сообщения
15,611
Симпатии
12,661
Баллы
2,203
#4
Подскажите, нужно ли проверять другие ПК, с которыми вылеченная машина находится в сетке, если установленный на них AVAST работает нормально и при глубоком сканировании ничего не находит?
Можно проверить выборочно одну машину. Для уверенности.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\Program Files\Internet Explorer\msvcrt.dll','');
 DeleteFile('C:\Program Files\Internet Explorer\msvcrt.dll');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 ExecuteRepair(19);
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив прикрепите к старой теме с карантином.

Что то у вас еще нехорошое прячется.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 SetAVZPMStatus(true);
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Повторите логи.

Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его.

Acrobat 7.0 - нужно обновить да Acrobat 9.х



Скачайте и распакуйте в отдельную папку - Registry Search (зеркало)

Запустите утилиту.
В верхнем окне, предназначенном для поиска введите fystemroot
proxy.php?image=http%3A%2F%2Fsafezone.cc%2Fimages%2FRegistry+Search.jpg&hash=b4c8742da9589be768e736182f7d1949

и нажмите кнопку "OK".
 

Denis

Активный пользователь
Сообщения
10
Симпатии
0
Баллы
391
#5
отчеты

Уважаемый AkoK!
Ваши рекомендации выполнили.
Новый quarantine.zip прикрепил к старой теме с карантином.

Не знаю, важно ли:
1.RSIT файл info.txt не перезаписывает.
2.Adobe Reader 7.0 "Справка-Проверить наличие обновлений..." ничего не показывает

Спасибо Вам за помощь!
 

akok

Команда форума
Администратор
Сообщения
15,611
Симпатии
12,661
Баллы
2,203
#6
Adobe Reader 7.0 "Справка-Проверить наличие обновлений..." ничего не показывает
Тут нужно деинсталяцию провести и скачать новую версию с сайта производителя.

RegSearch.txt - теперь у вас есть перечень ключей которые изменены вредоносом.

Необходимо изменить fystemroot => systemroot возможно прийдется востановить права на эти ветки реестра. Ознакомтесь с этой темой.

Скопируйте нижеприведенный текст в блокнот и сохраните как cleanup.bat в папку, где находится gmer.exe
Код:
gmer.exe -del service shelh
gmer.exe -del file "C:\WINDOWS\system32\ojrcr.dll"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\shelh"
gmer -reboot
И запустите cleanup.bat

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
- скачайте ATF Cleaner или с зеркала, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe
Подробнее можно прочитать в руководстве

И повторите лог gmer. Сообщите о самочувствии "пациента".
 

Denis

Активный пользователь
Сообщения
10
Симпатии
0
Баллы
391
#7
Уважаемый AkoK!
Спасибо Вам за помошь!
Самочувствии "пациента" хорошее.
1.Поясните, пожалуйста, указание "Необходимо изменить fystemroot => systemroot..."
2.Остальные инструкции выполнены
3.Почему-то не могу прикрепить лог gmer к ответу - "Ответить в теме-Дополнительные опции-Вложить файлы-Разрешённые типы файлов..." отсутствует кнопка "Управление вложениями", поэтому скопирую лог в сообщении:
GMER 1.0.15.15011 [gmer.exe] - http://www.gmer.net
Rootkit scan 2009-08-06 19:41:46
Windows 5.1.2600 Service Pack 2


---- Kernel code sections - GMER 1.0.15 ----

? Combo-Fix.sys Не удается найти указанный файл. !
? C:\ComboFix\catchme.sys Системе не удается найти указанный путь. !
? C:\WINDOWS\system32\Drivers\PROCEXP90.SYS Не удается найти указанный файл. !

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0L\0002\0T\0P\0) 1?
Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0T\0P\0) 1?
Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0P\0o\0E\0) 1?
Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\37\4@\4O\4<\4>\49\4 \0?\0040\4@\0040\4;\4;\0045\4;\4L\4=\4K\49\4 \0?\4>\4@\4B\4 1?
Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0I\0P\0) 1?
Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0?\4;\0040\4=\48\4@\4>\0042\4I\48\4:\0040\4 \0?\0040\4:\0045\4B\4>\0042\4 1?2?
Reg HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\Shares@\37\4@\48\4=\4B\0045\4@\4 CSCFlags=0?MaxUses=4294967295?Path=Microsoft Office Document Image Writer,LocalsplOnly?Permissions=0?Remark=Microsoft Office Document Image Writer?Type=1?
Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0L\0002\0T\0P\0) 1?
Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0T\0P\0) 1?
Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0P\0o\0E\0) 1?
Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\37\4@\4O\4<\4>\49\4 \0?\0040\4@\0040\4;\4;\0045\4;\4L\4=\4K\49\4 \0?\4>\4@\4B\4 1?
Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0I\0P\0) 1?
Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0?\4;\0040\4=\48\4@\4>\0042\4I\48\4:\0040\4 \0?\0040\4:\0045\4B\4>\0042\4 1?2?
Reg HKLM\SYSTEM\ControlSet002\Services\lanmanserver\Shares@\37\4@\48\4=\4B\0045\4@\4 CSCFlags=0?MaxUses=4294967295?Path=Microsoft Office Document Image Writer,LocalsplOnly?Permissions=0?Remark=Microsoft Office Document Image Writer?Type=1?

---- EOF - GMER 1.0.15 ----
 

akok

Команда форума
Администратор
Сообщения
15,611
Симпатии
12,661
Баллы
2,203
#8
1.Поясните, пожалуйста, указание "Необходимо изменить fystemroot => systemroot..."
Вредонос изменил стандартный путь файлов и теперь некоторые функции windows не работоспособны.
Служба BITS и обновление системы.


2.Остальные инструкции выполнены
Хотелось бы видеть логи.


3.Почему-то не могу прикрепить лог gmer к ответу - "Ответить в теме-Дополнительные опции-Вложить файлы-Разрешённые типы файлов..." отсутствует кнопка "Управление вложениями"
Попробуйте почистить куки. Никаких ограничений на вложение вложений :) не вводилось. На скачивать логи могут только специалисты нашего ресурса.

Если кнопка не появится, залейте логи на файлообменник и дайте нам ссылки.
 

Denis

Активный пользователь
Сообщения
10
Симпатии
0
Баллы
391
#9
Уважаемый AkoK!
Удаление куков помогло.
Вот последнии логи:
 

akok

Команда форума
Администратор
Сообщения
15,611
Симпатии
12,661
Баллы
2,203
#10
Не вижу ничего вредоносного.

Я заметил. что Вы запускали ComboFix. Если не сложно дайте лог (ComboFix.txt). Он находиться в корне системного диска.

Удалим следы утилит которыми мы проводили лечение. :)

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 ExecuteStdScr(6);
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.


Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /u, нажмите кнопку "ОК"
proxy.php?image=http%3A%2F%2Fsafezone.cc%2Fimages%2FCombofix-unninstal.JPG&hash=20a4ef164c3cb546fcbe9efada71912f


Скачайте OTCleanIt, запустите, нажмите Clean up
 

Denis

Активный пользователь
Сообщения
10
Симпатии
0
Баллы
391
#11
Уважаемый AkoK!
Спасибо Вам за помощь!
Какие конкретные действия мне необходимо предпринять, что бы выполнить Вашу рекомендацию:
RegSearch.txt - теперь у вас есть перечень ключей которые изменены вредоносом.

Необходимо изменить fystemroot => systemroot возможно прийдется востановить права на эти ветки реестра. Ознакомтесь с этой темой.
С указанной Вами темой ознакомился.

Лог ComboFix прилагаю.
 

akok

Команда форума
Администратор
Сообщения
15,611
Симпатии
12,661
Баллы
2,203
#12
Denis, нужно закрыть порт.

Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
Код:
:Processes
explorer.exe

:Services

:Files

:Reg
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"2988:TCP"=-
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.
Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
 

Denis

Активный пользователь
Сообщения
10
Симпатии
0
Баллы
391
#13
Лог OTM

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== SERVICES/DRIVERS ==========
========== FILES ==========
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: LocalService
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temp\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temp\History\History.IE5\index.dat scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temp\Cookies\index.dat scheduled to be deleted on reboot.
->Temp folder emptied: 65984 bytes
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 32902 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: User
->Temp folder emptied: 400110 bytes
File delete failed. C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 2806565 bytes
->Java cache emptied: 2816183 bytes
->FireFox cache emptied: 58865621 bytes

User: user2
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: Администратор
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2114294 bytes
%systemroot%\System32 .tmp files removed: 5709 bytes
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_56c.dat scheduled to be deleted on reboot.
Windows Temp folder emptied: 65536 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 64,06 mb


OTM by OldTimer - Version 3.0.0.5 log created on 08072009_134535

Files moved on Reboot...
File move failed. C:\WINDOWS\temp\Perflib_Perfdata_56c.dat scheduled to be moved on reboot.

Registry entries deleted on Reboot...
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу