Решена Очень прошу помощи - словил вирус с сайта kak-gde

Статус
В этой теме нельзя размещать новые ответы.

Alfar

Активный пользователь
Сообщения
24
Симпатии
3
Баллы
383
#1
Не помню - то ли .ру, то ли .ком. Открыл его - комп сразу завис, помог только ребут с кнопки.

Щас не открывается антивирус Аваст, не обновляется AVZ, не отрывается поисковик Гугл и еще ряд сайтов.

Очень прошу помощи, так как моя почта на gmail. Очень нужна, а открыть не могу. И вообще очень не нравится мне все происходящее.

Все выполняю, как описано в правилах. Времянки очистил, все программы закрыл. Логи прилагаю.

Пожалуйста, помогите:(
 

Вложения

Arbitr

Ассоциация VN
VIP
Сообщения
3,615
Симпатии
1,656
Баллы
593
#2
Обновите базы AVZ
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');
 QuarantineFile('\\?\globalroot\systemroot\system32\VbRkhIe.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\LzGt0Sd.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\L0DvQ7N.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\AOWAMl0.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\5zQ8V8r.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\0HUjbAy.exe','');
 QuarantineFile('C:\WINDOWS\system32\onxvrl.exe','');
 DeleteFile('C:\WINDOWS\system32\onxvrl.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\0HUjbAy.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\5zQ8V8r.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\AOWAMl0.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\L0DvQ7N.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\LzGt0Sd.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\VbRkhIe.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.
Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
  • Sections
  • IAT/EAT
  • Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

опять не успел((
 
Последнее редактирование:

Alfar

Активный пользователь
Сообщения
24
Симпатии
3
Баллы
383
#3
Большое спасибо!

Базы AVZ я обновить не могу:(Не идет обновление, полагаю, по этим же самым причинам, что и антивирус не грузится, и Гугл не открывается.

Щас буду пробовать все сделать так, как Вы написали!
 

Alfar

Активный пользователь
Сообщения
24
Симпатии
3
Баллы
383
#5
обновите базы после выполенния скрипта
Огромное спасибо! Базы после выполнения вышеуказанного Вами скрипта обновились:yess:

А в форме запроса в вирусную лабораторию имеет какое-то значение тип запроса, который надо выбрать из списка? Я выбрал "запрос на описание вредоносной программы".

GMER запускал, но проверка до конца не доходит. Примерно через 2-3 секунды выскакивает сообщение "t8tfqrz6.exe - обнаружена ошибка. Приложение будет закрыто".

Если запустить из архива, то выскакивает "gmer.exe - обнаружена ошибка. Приложение будет закрыто".

Что делать, профессор? (((((
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
15,837
Симпатии
12,742
Баллы
2,203
#6

Alfar

Активный пользователь
Сообщения
24
Симпатии
3
Баллы
383
#7
Еще раз послать с уже корректным запросом?

Пришел ответ от робота:

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

a2hooks32.dll

Файл в процессе обработки.

onxvrl.exe - Backdoor.Win32.Shiz.rc

В настоящий момент этот файл определяется антивирусом со свежими антивирусными базами.

С уважением, Лаборатория Касперского


На данный момент после выполнения скрипта Гугл стал открываться - почту за неделю наконец-то скачал, но Аваст так и не работает.
 

Arbitr

Ассоциация VN
VIP
Сообщения
3,615
Симпатии
1,656
Баллы
593
#8
удалите вручную
C:\WINDOWS\system32\fjhdyfhsn.bat

Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в блокнот и выложите в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
как подсказывает thyrex Подозрение на маскировку ключа реестра службы\драйвера "obvious"
от эмулятора дисков
 
Последнее редактирование:

Alfar

Активный пользователь
Сообщения
24
Симпатии
3
Баллы
383
#9
Откройте лог и скопируйте в блокнот и выложите в сообщение.
Готово!:)

Что делать с найденными инфицированными объектами? Удалять пока не буду, подожду Ваших указаний!
 

Вложения

Последнее редактирование:

Arbitr

Ассоциация VN
VIP
Сообщения
3,615
Симпатии
1,656
Баллы
593
#10
удаляйте все кроме C:\Documents and Settings\Арт.ALFAR\Рабочий стол\Инсталлеры - архивы\Denwer3_Base_PHP52_2010-03-18_a2.2.4_p5.2.12_zendoptimizer_m5.1.40_pma3.2.3.exe (Rogue.Installer)
далее Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
далее чкачайте и установите exlorer 8 даже если вы им и не пользуетесь,
повторите плиз логи AVZ и прошу лог RSIT
что с проблемой?
 

Alfar

Активный пользователь
Сообщения
24
Симпатии
3
Баллы
383
#11
Все сделал так, как Вы написали.

С Авастом все-таки творилось что-то странное - расклинить его я так и не смог. Снес Рево Анинсталлером его ко всем чертям, щас прогнал АВЗ и РСИТ, потом буду ставить Касперского. Интернет Секьюрити который.

Быстродействие компьютера существенно увеличилось - грузится моментально, реагирует на клики мгновенно:) Я уж и забыл когда он так работал:) Все сайты стали открываться :yess: Ошибок больше ни одна программа больше вроде не находит:)

Новые логи прикладываю.

Люди, что это было-то у меня все-таки? Можно как-то уберечься на будущее от таких напастей?
 

Вложения

akok

Команда форума
Администратор
Сообщения
15,837
Симпатии
12,742
Баллы
2,203
#12
Symantec давно стоит?

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\system32\emfxp.dll','');
 QuarantineFile('C:\WINDOWS\system32\htelib.dll','');
 DeleteFile('C:\WINDOWS\system32\htelib.dll');
 DelBHO('{A5680ED5-1300-45C0-8956-BC1EEA2F2B7D}');
 BC_ImportALL;
  ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив необходимо загрузить при помощи этой формы:
1. Выберите тип запроса "неизвестная вредоносная программа" и введите изображенное на картинке число, нажмите "Далее".
2. В окне "Подробное описание возникшей ситуации" наберите "Пароль: virus".
3. Прикрепите файл карантина и нажмите "Далее".
4. Если размер карантина превышает 1,5 мб, то карантин отправьте по адресу newvirus@kaspersky.com

Подготовьте расширенный лог Vba32 AntiRootkit.
 

Alfar

Активный пользователь
Сообщения
24
Симпатии
3
Баллы
383
#13
Стоял раньше, где-то полгода назад. После него стоял Аваст, который я вчера снес.

А что, это от Симантека следы остались в системе, которые мешают жить?

Оказывается, это еще не конец...:(:(:( Делаю все описанное Вами.

Сделал.
 

Вложения

Последнее редактирование:

Alfar

Активный пользователь
Сообщения
24
Симпатии
3
Баллы
383
#15

akok

Команда форума
Администратор
Сообщения
15,837
Симпатии
12,742
Баллы
2,203
#18

Alfar

Активный пользователь
Сообщения
24
Симпатии
3
Баллы
383
#19
C:\WINDOWS\System32\Drivers\au2yhruv.SYS - проверьте на VT о результате сообщите.

Как самочувствие?
Прошу прощения, но такого файла не нашел не только в указанной директории, но и вообще на компьютере.

Самочувствие больного в норме!:) Рецидивов не наблюдается.

Огромное спасибо всем!!! На днях поддержу проект копеечкой - без этого сервиса не жить нам всем:):yess:
 

Arbitr

Ассоциация VN
VIP
Сообщения
3,615
Симпатии
1,656
Баллы
593
#20
Прошу прощения, но такого файла не нашел не только в указанной директории, но и вообще на компьютере.
все нормально.
На днях поддержу проект копеечкой - без этого сервиса не жить нам всем
будем очень благодарны))
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу