Решена Проблемы с запуском nod32 после удаления троянов

Статус
В этой теме нельзя размещать новые ответы.

Keeper

Новый пользователь
Сообщения
5
Реакции
0
Здравствуйте.
Полазил в Интернете, после nod32 нашел троянов, удалил, перезагрузил комп, nod32 не запустился, при попытке запуска в ручную пишет: «Невозможно открыть данную программу из-за политики ограничения применения программного обеспечению. За дополнительной информацией обратитесь к системному администратору или откройте Просмотр событий». Так же нельзя зайти ни в редактор реестра, ни в восстановление системы, ни на сайты антивирусов.
Посмотреть вложение info.txt

Посмотреть вложение log.txt

Посмотреть вложение virusinfo_syscheck.zip

Посмотреть вложение virusinfo_syscure.zip
 
Выполните скрипт авз
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\system32\b0fea6a3.exe','');
 QuarantineFile('d:\games\heroes of newerth\hon.exe','');
 QuarantineFile('C:\WINDOWS\system32\2YfvZ7U.exe','');
 QuarantineFile('C:\WINDOWS\system32\L4bVXBK.exe','');
 QuarantineFile('C:\WINDOWS\system32\e9p7zKO.exe','');
 QuarantineFile('C:\WINDOWS\system32\zpixzwA.exe','');
 QuarantineFile('C:\WINDOWS\system32\5QICZuJ.exe','');
 QuarantineFile('C:\WINDOWS\system32\FHz3W2o.exe','');
 QuarantineFile('C:\WINDOWS\system32\BH5Clmm.exe','');
 QuarantineFile('C:\WINDOWS\system32\FSS9m7Y.exe','');
 DeleteFile('C:\WINDOWS\system32\2YfvZ7U.exe');
 DeleteFile('C:\WINDOWS\system32\L4bVXBK.exe');
 DeleteFile('C:\WINDOWS\system32\e9p7zKO.exe');
 DeleteFile('C:\WINDOWS\system32\zpixzwA.exe');
 DeleteFile('C:\WINDOWS\system32\5QICZuJ.exe');
 DeleteFile('C:\WINDOWS\system32\FHz3W2o.exe');
 DeleteFile('C:\WINDOWS\system32\BH5Clmm.exe');
 DeleteFile('C:\WINDOWS\system32\FSS9m7Y.exe');
 DeleteFile('c:\windows\system32\b0fea6a3.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(17);
 ExecuteRepair(20);
RebootWindows(true);
end.
Компьютер перезагрузится
Выполните второй скрипт

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Карантин с паролем virus отправьте на ящик myedde@mail.ru

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Обновите базы , повторите логи

Добавлено через 1 час 55 минут 29 секунд
+
Выполните дополнительно скрипт

Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('\\?\globalroot\systemroot\system32\BnZARus.exe','');
 QuarantineFile('c:\documents and settings\кирилл\главное меню\программы\автозагрузка\sysqpv32.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\KdD6zZ0.exe','');
 QuarantineFile('c:\documents and settings\кирилл\главное меню\программы\автозагрузка\sysqpv32.exe','');
 DeleteFile('c:\documents and settings\кирилл\главное меню\программы\автозагрузка\sysqpv32.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\BnZARus.exe');
 DeleteFile('c:\documents and settings\кирилл\главное меню\программы\автозагрузка\sysqpv32.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\KdD6zZ0.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
В HJT
пофиксите эту строку
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\b0fea6a3.exe,\\?\globalroot\systemroot\system32\L01RR03.exe,\\?\globalroot\systemroot\system32\BnZARus.exe,\\?\globalroot\systemroot\system32\KdD6zZ0.exe,
 
Выполнил все скрипты, архив отправил на почту, просканировал MBAM, с файлами реестра ничего не делал, жду рекомендации, вот лог:


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Версия базы данных: 4215

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

19.06.2010 16:28:44
mbam-log-2010-06-19 (16-28-44).txt

Тип сканирования: Полное сканирование (C:\|D:\|)
Просканированные объекты: 360551
Времени прошло: 1 часов, 1 минут, 8 секунд

Зараженные процессы в памяти: 0
Зараженные модули в памяти: 0
Зараженные ключи в реестре: 5
Зараженные параметры в реестре: 5
Объекты реестра заражены: 4
Зараженные папки: 1
Зараженные файлы: 12

Зараженные процессы в памяти:
(Вредоносных программ не обнаружено)

Зараженные модули в памяти:
(Вредоносных программ не обнаружено)

Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-22cx3c644241} (Generic.Bot.H) -> Not selected for removal.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{67kln5j0-4opm-00we-aax5-74cc2a323342} (Generic.Bot.H) -> Not selected for removal.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{67kln5j0-4opm-00we-aax5-74cc2a323342} (Backdoor.Bifrose) -> Not selected for removal.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-22cx3c644241} (Backdoor.IRCBot) -> Not selected for removal.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SDKhlpUser (Password.Stealer) -> Not selected for removal.

Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\host (Malware.Trace) -> Not selected for removal.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\id (Malware.Trace) -> Not selected for removal.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Not selected for removal.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Not selected for removal.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Not selected for removal.

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableConfig (Windows.Tool.Disabled) -> Bad: (1) Good: (0) -> Not selected for removal.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.

Зараженные папки:
C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> Quarantined and deleted successfully.

Зараженные файлы:
C:\Avz\Quarantine\2010-06-19\avz00009.dta (Trojan.Scar) -> Quarantined and deleted successfully.
C:\Documents and Settings\Кирилл\Local Settings\Temp\Rar$DR00.547\2010-06-19\avz00009.dta (Trojan.Scar) -> Quarantined and deleted successfully.
D:\Games\Braid\Uninstall.exe (Malware.Packer.Krunchy) -> Quarantined and deleted successfully.
D:\Games\RAGDOLL MASTERS V3.0\patch.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\Games\Игры\Игрушки\пинпонг\YAP!\snd\VVSNInst.exe (Adware.WhenU) -> Quarantined and deleted successfully.
D:\Зумы\Giza\dsetup.dll (Malware.Packer.Gen) -> Quarantined and deleted successfully.
D:\Картинки\Педальный\Новая папка\Новая папка\Adobe Audition v.2.0\Crack\keygen.exe (Trojan.Agent) -> Quarantined and deleted successfully.
D:\Картинки\Педальный\Новая папка\Новая папка\Adobe Creative Suite 2.0\Crack\keygen.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.
D:\Torrent\kk\ChainZ_2_setup.exe (Malware.Packer) -> Quarantined and deleted successfully.
C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Кирилл\Application Data\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> Quarantined and deleted successfully.


В HJT срочку которую надо пофиксить не нашел.
 
Keeper,

Код:
Пожалуйста обновите баз [URL="http://safezone.cc/forum/downloads.php?do=file&id=12"][B][U]AVZ[/U][/B][/URL]
	нажмите Файл => Обновление баз => Пуск

Повторите логи АВЗ + RSIT...!Кстати,то, что состояние вашей системы..?
 
Вот новые логи. Состояние системы без изменения(
Хотелось бы уточнить, что делать с зараженными файлами реестра из предыдущего лога МВАМ.
 

Вложения

  • virusinfo_syscure.zip
    17.1 KB · Просмотры: 2
  • virusinfo_syscheck.zip
    16.4 KB · Просмотры: 1
  • log.txt
    24.1 KB · Просмотры: 2
  • info.txt
    26.1 KB · Просмотры: 0
Хотелось бы уточнить, что делать с зараженными файлами реестра из предыдущего лога МВАМ.
Отметить для удаления. Для этого повторите сканирование полное программой МБАМ и удалите найденное.
 
Keeper, ..:

Код:
O17 - HKLM\System\CCS\Services\Tcpip\..\{2EC9B81A-4BB0-47D5-BDB7-AA9BC5406617}: NameServer = 62.148.128.1 62.148.159.188
O17 - HKLM\System\CCS\Services\Tcpip\..\{62E90020-BB60-48FE-ACDA-213F6D68ABF9}: NameServer = 10.152.195.95,10.152.203.3,10.152.202.226,62.148.128.1,62.148.128.22
O17 - HKLM\System\CS1\Services\Tcpip\..\{2EC9B81A-4BB0-47D5-BDB7-AA9BC5406617}: NameServer = 62.148.128.1 62.148.159.188
O17 - HKLM\System\CS2\Services\Tcpip\..\{2EC9B81A-4BB0-47D5-BDB7-AA9BC5406617}: NameServer = 62.148.128.1 62.148.159.188

DNS ваши?

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".


Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('d:\games\heroes of newerth\hon.exe','');
 QuarantineFile('buqobegd.sys','');
 QuarantineFile('C:\WINDOWS\Inf\oem106.PNF:DNG','');
 DeleteFile('buqobegd.sys');
 DeleteFile('C:\WINDOWS\Inf\oem106.PNF:DNG');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
После перезагрузки выполнить второй скрипт:

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine .zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.


Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."
 
Последнее редактирование модератором:
Dns у меня стоят только для локальной сети: 10.152.195.95,10.152.203.3
В интернете получаю автоматически.
Ответ по архиву карантина пока не дождался.
Просканировал ComboFix, в результате состояние системы улучшилось:
могу зайти на сайты антивирусов, в редактор реестров, восстановление системы, но антивирус пока не запускается.
Сделал новые логи.
 

Вложения

  • virusinfo_syscheck.zip
    16.6 KB · Просмотры: 2
  • virusinfo_syscure.zip
    17.1 KB · Просмотры: 2
  • log.txt
    22.4 KB · Просмотры: 3
  • info.txt
    25.9 KB · Просмотры: 0
  • ComboFix.txt
    13.8 KB · Просмотры: 5
Последнее редактирование:
Результаты карантина
2010-06-19.zip/2010-06-19/avz00002.dta - инфицирован Trojan-Dropper.Win32.Shiz.ev
2010-06-19.zip/2010-06-19/avz00003.dta - инфицирован Trojan.Win32.Scar.ckrf
2010-06-19.zip/2010-06-19/avz00004.dta - инфицирован Trojan.Win32.Scar.ckrf
2010-06-19.zip/2010-06-19/avz00005.dta - инфицирован Backdoor.Win32.Shiz.hv
2010-06-19.zip/2010-06-19/avz00006.dta - инфицирован Trojan.Win32.Scar.ckki
2010-06-19.zip/2010-06-19/avz00007.dta - инфицирован Trojan.Win32.Agent.egod
2010-06-19.zip/2010-06-19/avz00008.dta - инфицирован Trojan.Win32.Scar.cjtz
2010-06-19.zip/2010-06-19/avz00009.dta - инфицирован Trojan.Win32.Scar.cjmp


Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"
combofix-uninstall.jpg


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up


Вставьте диск с дистрибутивом windows в привод cd-dvd запустите командную строку от имни администратора или пуск\выполнить cmd
в командной строке введите sfc /scannow дождитесь окончания проверки файлов

Обновите систему до sp3

Вам было рекомендовано удалить найденные вредоносные записи при проверке мбам, почему не сделали?
Web money похоже придется переустанавливать.
 
Вредоносные записи при проверке мвам удалил просто не выложил лог.
А вот с сп3 будут проблемы так как windows не лицензионный... без этого ни как?)
 
Обновляться необязательно, но крайне желательно. Тем более что всех проблем на пять минут, гугль в помощь. Что с проблемами?
 
В карантине было:
2YfvZ7U.exe - Backdoor.Win32.Shiz.hl
5QICZuJ.exe - Trojan.Win32.Scar.ckki
BH5Clmm.exe - Trojan.Win32.Scar.cjtz
L4bVXBK.exe - Trojan.Win32.Scar.ckrf
FHz3W2o.exe - Trojan.Win32.Agent.egod
FSS9m7Y.exe - Trojan.Win32.Scar.cjmp
zpixzwA.exe - Backdoor.Win32.Shiz.hv
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу