• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена Помогите, пожалуйста.

Статус
В этой теме нельзя размещать новые ответы.

May-ya

Активный пользователь
Сообщения
65
Симпатии
12
#1
Поймала вирус, теперь не работает ИЕ (не ищет сайты). Рекомендации выполнила, но они не помогли - при перезагрузке компа вирус возвращается в автозагрузку.
Вот логи. Посмотреть вложение virusinfo_syscheck.zip

Посмотреть вложение virusinfo_syscure.zip

Посмотреть вложение hijackthis.log
 

Ботан

Злостный спам-бот
Сообщения
970
Симпатии
173
#2
Приветствую May-ya, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.


__________________________________________________
С уважением, администрация SafeZone.
 

icotonev

Ассоциация VN
Сообщения
1,403
Симпатии
1,153
#3
Здравствуйте..!

Отключите временно:
Антивирус/Файерволл

Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Documents and Settings\ASUS\Главное меню\Программы\Автозагрузка\gJUb6C6ZPvk.exe','');
 DeleteFile('C:\Documents and Settings\ASUS\Главное меню\Программы\Автозагрузка\gJUb6C6ZPvk.exe');
 ExecuteSysClean;
 BC_Activate;
 ExecuteWizard('SCU',2,3,true);
 RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через этой формы

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Пожалуйста, подготовить новые логи с АВЗ и RSIT...!!!
 

May-ya

Активный пользователь
Сообщения
65
Симпатии
12
#4
Ботан, спасибо за предупреждение. Я не могу воспользоваться программой RSIT, поэтому прикрепила лог HiJackThis - это, вроде бы, не возбраняется Правилами? )

Добавлено через 4 минуты 33 секунды
icotonev, ок, попробую после работы воспользоваться вашими советами. Спасибо, что откликнулись!
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,303
Симпатии
4,830
#5
Ботан, спасибо за предупреждение. Я не могу воспользоваться программой RSIT
Почему не можете? При вашем заражении Rsit наиболее информативен.
 

May-ya

Активный пользователь
Сообщения
65
Симпатии
12
#6
shestale, временно не могу. Проблема на домашнем компе, а я на работе. Логи сделала до того, как прочитала здешние Правила.

Добавлено через 1 час 23 минуты 55 секунд
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы,
Только сейчас пришло в голову: как же я скачаю и установлю RSIT и прочие антивири на свой комп, если у меня не работает браузер? Я ж не могу в инет попасть... А на внешний диск эти проги, по-моему, не копируются. Как быть?
 

May-ya

Активный пользователь
Сообщения
65
Симпатии
12

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
11,851
Симпатии
5,580
#9
Здравствуйте!

Отключите антивирус/фаервол, интернет;

Выполните скрипт в AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:
begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\cpadvai.dll','');
 QuarantineFile('C:\WINDOWS\sm56hlpr.exe','');
 QuarantineFile('F:\autorun.inf','');
 QuarantineFile('C:\WINDOWS\DOWNLO~1\HTTPFile.dll','');
 QuarantineFile('csovmrit.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\csovmrit.sys','');     
 QuarantineFile('C:\DOCUME~1\ASUS\LOCALS~1\Temp\sggtkfx.exe','');
 QuarantineFile('%LocalSettings%\Temp\bwdzwkl','');
 QuarantineFile('C:\plg.txt','');
 QuarantineFileF('C:\jdNzGcbp708judV','*', true,'',0 ,0);
 QuarantineFileF('C:\Documents and Settings\ASUS\Application Data\9vO3wAguztZA40u','*', true,'',0 ,0);
 QuarantineFileF('C:\Documents and Settings\ASUS\Application Data\jdNzGcbp708judV','*', true,'',0 ,0);
 DeleteFile('C:\DOCUME~1\ASUS\LOCALS~1\Temp\sggtkfx.exe');
 DeleteFile('%LocalSettings%\Temp\bwdzwkl');
 DeleteFile('C:\plg.txt');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','AdobeFlash');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','hosts');
 DeleteFileMask('C:\jdNzGcbp708judV', '*', true);
 DeleteFileMask('C:\Documents and Settings\ASUS\Application Data\9vO3wAguztZA40u', '*', true);
 DeleteFileMask('C:\Documents and Settings\ASUS\Application Data\jdNzGcbp708judV', '*', true);
 DeleteDirectory('C:\jdNzGcbp708judV',' ');
 DeleteDirectory('C:\Documents and Settings\ASUS\Application Data\9vO3wAguztZA40u',' ');
 DeleteDirectory('C:\Documents and Settings\ASUS\Application Data\jdNzGcbp708judV',' ');
 ExecuteWizard('SCU',2,3,true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Сделайте новые логи virusinfo_syscheck.zip; log.txt, info.txt.

Удалите в MBAM только:

Код:
C:\Documents and Settings\ASUS\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.
сделайте повторный лог полного сканирования MBAM.

-------------------
+
  1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
  2. Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:
    Код:
    tdsskiller.exe -silent -qmbr -qboot
  3. Запустите файл fix.bat;
  4. Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine;
  5. Заархивруйте эту папку с паролем virus. И отправьте полученный архив на адрес quarantine<at>safezone.cc (at=@), в заголовке (теме) письма укажите ссылку на тему, где Вам оказывается помощь.
  6. Запустите файл TDSSKiller.exe;
  7. Нажмите кнопку "Начать проверку";
  8. В процессе проверки могут быть обнаружены объекты двух типов:
    • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
    • подозрительные (тип вредоносного воздействия точно установить невозможно).
  9. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
  10. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
  11. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
  12. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
  13. Прикрепите лог утилиты к своему следующему сообщению
По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

--------------
смените все пароли ! по окончанию лечения смените ещё раз.
 
Последнее редактирование модератором:

May-ya

Активный пользователь
Сообщения
65
Симпатии
12
#10
Удалите в MBAM только:
Код:
C:\Documents and Settings\ASUS\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.
Прошу прощенья, я не понимаю, как это сделать. Где я должна увидеть этот код?
Буду очень благодарна за более подробную инструкцию.
Остальное попробую сейчас выполнить.

Добавлено через 10 минут 53 секунды
И еще тоже поясните, пжлс:
смените все пароли ! по окончанию лечения смените ещё раз.
Может, глупый вопрос, но все же... :) Касается ли совет только моих паролей для почты или аккаунтов? Или пароли нужно менять всем моим друзьям и родственникам когда-либо пользовавшимся моим компом? Насколько серьезна угроза? и на этом сайте нужно менять пароль?
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,434
Симпатии
8,699
#11
Прошу прощенья, я не понимаю, как это сделать
Повторите сканирование в MBAM поставьте галочки напротив указанных строк и нажмите кнопку удалить.


Касается ли совет только моих паролей для почты или аккаунтов?
Если не применялись чистки кэша IE, то все данные, куки и сохраненные пароли могли попасть к злоумушленникам
 

May-ya

Активный пользователь
Сообщения
65
Симпатии
12
#12
regist, не могу выполнить скрипт в АВЗ. Вышло сообщение: Ошибка ,), expected в позиции 29:16.
(не нашла на своей клавиатуре апостроф - в сообщении были они рядом со скобкой, а не запятые, сорри)

Добавлено через 14 минут 21 секунду
Если не применялись чистки кэша IE
Я периодически чистила ATF-Cleaner(ом), не ежедневно, конечно, - 1-2 раза в месяц. Пароли для автоматического входа в аккаунты я не сохраняю, обычно ввожу их вручную. Этого не достаточно?
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
11,851
Симпатии
5,580
#14
Пароли для автоматического входа в аккаунты я не сохраняю, обычно ввожу их вручную. Этого не достаточно?
после того как пользовались аккаунтом кнопку выход нажимаете ? если нет, то пароль сохраняется в куках и мог быть попасть к злоумышленникам. Для профилактики рекомендую сменить пароли в любом случае.
 

May-ya

Активный пользователь
Сообщения
65
Симпатии
12
#15
Повторите сканирование в MBAM поставьте галочки напротив указанных строк и нажмите кнопку удалить.
Я сделала полное сканирование, после него появилось окно с текстовым файлом - лог. И сообщение, что вирусов не обнаружено. Больше ничего, никаких реестров с окошечками.
Когда я сканировала этой программой вчера, у меня было окно Показать результаты, а сегодня даже его не было. Где мне искать строки, которые нужно удалить?

Добавлено через 3 минуты 38 секунд
после того как пользовались аккаунтом кнопку выход нажимаете ?
Не всегда, но стараюсь. В Фейсбуке, например, нет такой кнопки.
Спасибо за разъяснение, поняла. Поменяла ).
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,434
Симпатии
8,699
#16
Я сделала полное сканирование, после него появилось окно с текстовым файлом - лог. И сообщение, что вирусов не обнаружено
Хорошо.

Скрипт regist выполнили?

Продолжайте по его рекомендациям из этого поста

+

  • Загрузите SecurityCheck by screen317 отсюда или отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Когда увидите консоль, нажмите любую клавишу для продолжения сканирования
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем checkup.txt;
  • Прикрепите файл к следующему сообщению.
 

May-ya

Активный пользователь
Сообщения
65
Симпатии
12
#17
regist, спасибо - нашла ответ у вас в прикреплённых ссылках :) В общем, прочитала я FAQ и каюсь: МВАМ мне показала реестр из 4-х вирусов, я галочки поставила и удалила, поскольку не знала, что нельзя удалять их без разрешения консультанта.
Но сегодня ничего не было.

Добавлено через 2 минуты 13 секунд
Написала вам черти что. Я имела в виду, что удалила я 4 файла в МВАМ еще вчера.

Добавлено через 3 минуты 49 секунд
Скрипт regist выполнили?
Продолжайте по его рекомендациям
Да, выполнила всё, все логи сделала, застряла только на МВАМ. Насколько я поняла, могу пропустить этот шаг?
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
11,851
Симпатии
5,580
#18
Да, выполнила всё, все логи сделала, застряла только на МВАМ. Насколько я поняла, могу пропустить этот шаг?
Прикрепите свежие логи к своему сообщению и пришлите карантин. указания с MBAM можете пропустить (просмотрел старый отчёт, ничего критичного вы не удалили).
 

May-ya

Активный пользователь
Сообщения
65
Симпатии
12

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
11,851
Симпатии
5,580
#20
Последнее редактирование:
Статус
В этой теме нельзя размещать новые ответы.