Решена Очень прошу помощи - словил вирус с сайта kak-gde

[Alfar]

Не помню - то ли .ру, то ли .ком. Открыл его - комп сразу завис, помог только ребут с кнопки.

Щас не открывается антивирус Аваст, не обновляется AVZ, не отрывается поисковик Гугл и еще ряд сайтов.

Очень прошу помощи, так как моя почта на gmail. Очень нужна, а открыть не могу. И вообще очень не нравится мне все происходящее.

Все выполняю, как описано в правилах. Времянки очистил, все программы закрыл. Логи прилагаю.

Пожалуйста, помогите

 

[Arbitr]

Обновите базы AVZ
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');
 QuarantineFile('\\?\globalroot\systemroot\system32\VbRkhIe.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\LzGt0Sd.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\L0DvQ7N.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\AOWAMl0.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\5zQ8V8r.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\0HUjbAy.exe','');
 QuarantineFile('C:\WINDOWS\system32\onxvrl.exe','');
 DeleteFile('C:\WINDOWS\system32\onxvrl.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\0HUjbAy.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\5zQ8V8r.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\AOWAMl0.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\L0DvQ7N.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\LzGt0Sd.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\VbRkhIe.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.

После всех процедур выполните скрипт

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.
Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
• IAT/EAT
• Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

опять не успел((

 

[Alfar]

Большое спасибо!

Базы AVZ я обновить не могуНе идет обновление, полагаю, по этим же самым причинам, что и антивирус не грузится, и Гугл не открывается.

Щас буду пробовать все сделать так, как Вы написали!

 

[Arbitr]

обновите базы после выполенния скрипта

 

[Alfar]

обновите базы после выполенния скрипта

Огромное спасибо! Базы после выполнения вышеуказанного Вами скрипта обновились:yess:

А в форме запроса в вирусную лабораторию имеет какое-то значение тип запроса, который надо выбрать из списка? Я выбрал "запрос на описание вредоносной программы".

GMER запускал, но проверка до конца не доходит. Примерно через 2-3 секунды выскакивает сообщение "t8tfqrz6.exe - обнаружена ошибка. Приложение будет закрыто".

Если запустить из архива, то выскакивает "gmer.exe - обнаружена ошибка. Приложение будет закрыто".

Что делать, профессор? (((((

 

[akok]

А в форме запроса в вирусную лабораторию имеет какое-то значение тип запроса, который надо выбрать из списка?

"Исследование вредоносного файла".

 

[Alfar]

Еще раз послать с уже корректным запросом?

Пришел ответ от робота:

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

a2hooks32.dll

Файл в процессе обработки.

onxvrl.exe - Backdoor.Win32.Shiz.rc

В настоящий момент этот файл определяется антивирусом со свежими антивирусными базами.

С уважением, Лаборатория Касперского

На данный момент после выполнения скрипта Гугл стал открываться - почту за неделю наконец-то скачал, но Аваст так и не работает.

 

[Arbitr]

удалите вручную
C:\WINDOWS\system32\fjhdyfhsn.bat

Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в блокнот и выложите в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
как подсказывает thyrex Подозрение на маскировку ключа реестра службы\драйвера "obvious"
от эмулятора дисков

 

[Alfar]

Откройте лог и скопируйте в блокнот и выложите в сообщение.

Готово!

Что делать с найденными инфицированными объектами? Удалять пока не буду, подожду Ваших указаний!

 

[Arbitr]

удаляйте все кроме C:\Documents and Settings\Арт.ALFAR\Рабочий стол\Инсталлеры - архивы\Denwer3_Base_PHP52_2010-03-18_a2.2.4_p5.2.12_zendoptimizer_m5.1.40_pma3.2.3.exe (Rogue.Installer)
далее Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
далее чкачайте и установите exlorer 8 даже если вы им и не пользуетесь,
повторите плиз логи AVZ и прошу лог RSIT
что с проблемой?

 

[Alfar]

что с проблемой?

Все сделал так, как Вы написали.

С Авастом все-таки творилось что-то странное - расклинить его я так и не смог. Снес Рево Анинсталлером его ко всем чертям, щас прогнал АВЗ и РСИТ, потом буду ставить Касперского. Интернет Секьюрити который.

Быстродействие компьютера существенно увеличилось - грузится моментально, реагирует на клики мгновенно Я уж и забыл когда он так работал Все сайты стали открываться :yess: Ошибок больше ни одна программа больше вроде не находит

Новые логи прикладываю.

Люди, что это было-то у меня все-таки? Можно как-то уберечься на будущее от таких напастей?

 

[akok]

Symantec давно стоит?

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\system32\emfxp.dll','');
 QuarantineFile('C:\WINDOWS\system32\htelib.dll','');
 DeleteFile('C:\WINDOWS\system32\htelib.dll');
 DelBHO('{A5680ED5-1300-45C0-8956-BC1EEA2F2B7D}');
 BC_ImportALL;
  ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив необходимо загрузить при помощи этой формы:
1. Выберите тип запроса "неизвестная вредоносная программа" и введите изображенное на картинке число, нажмите "Далее".
2. В окне "Подробное описание возникшей ситуации" наберите "Пароль: virus".
3. Прикрепите файл карантина и нажмите "Далее".
4. Если размер карантина превышает 1,5 мб, то карантин отправьте по адресу newvirus@kaspersky.com

Подготовьте расширенный лог Vba32 AntiRootkit.

 

[Alfar]

Symantec давно стоит?

Стоял раньше, где-то полгода назад. После него стоял Аваст, который я вчера снес.

А что, это от Симантека следы остались в системе, которые мешают жить?

Оказывается, это еще не конец... Делаю все описанное Вами.

Сделал.

 

[akok]

Для удаления следов Symantec

 

[Alfar]

Для удаления следов Symantec

Большое спасибо, удаление выполнил, правда, после первой перезагрузки почему-то открылся Интернет Эксплорер, который подвесил всю систему. Второй ребут помог, щас вроде нормально.

Логи ВБА переделывать?

 

[akok]

делать.

 

[Alfar]

делать.

Переделал.

 

[akok]

Ложная тревога, это всего лишь драйвер Virtual CD.

C:\WINDOWS\System32\Drivers\au2yhruv.SYS - проверьте на VT о результате сообщите.

Не забудьте очистить точки восстановления, которые были созданы во время лечения. И выгрузите ArKit Driver


Как самочувствие?

 

[Alfar]

C:\WINDOWS\System32\Drivers\au2yhruv.SYS - проверьте на VT о результате сообщите.

Как самочувствие?

Прошу прощения, но такого файла не нашел не только в указанной директории, но и вообще на компьютере.

Самочувствие больного в норме! Рецидивов не наблюдается.

Огромное спасибо всем!!! На днях поддержу проект копеечкой - без этого сервиса не жить нам всем:yess:

 

[Arbitr]

Прошу прощения, но такого файла не нашел не только в указанной директории, но и вообще на компьютере.

все нормально.

На днях поддержу проект копеечкой - без этого сервиса не жить нам всем

будем очень благодарны))