Решена Проблема с удалением вируса - нужна помощь

Шевченко Иван · 18 Июл 2011

не могу удалить вирус
прилагаю логи по инструкции

Шевченко Иван · 18 Июл 2011

на компе в клубе стоит шел и асталависта. при включении времени запускается шел, в ней запускается 6 окон проводников C:\AsShell\

Techno · 18 Июл 2011

Добрый день!!! Смотрю логи, скоро отвечу.

Шевченко Иван · 18 Июл 2011

добрый, жду ответа. есть еще такой же компьютер, с такими же глюками.могу со 2 компа тоже скинуть логи.

Severnyj · 18 Июл 2011

Шевченко Иван написал(а):
добрый, жду ответа. есть еще такой же компьютер, с такими же глюками.могу со 2 компа тоже скинуть логи.

Для каждого нового заражения необходимо создавать новую тему на форуме. Советую сначала с этим разобраться чтобы в скриптах и логах не запутаться.

Шевченко Иван · 18 Июл 2011

хорошо

Techno · 18 Июл 2011

1. Отключите антивирус/фаервол и интернет;
2. Очистите старые и создате новую контрольную точку восстановления:
- Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
- Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
3. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 ClearHostsFile;
 TerminateProcessByName('c:\windows\ufa\ufa.exe');
 TerminateProcessByName('c:\windows\update.1\svchost.exe');
 TerminateProcessByName('c:\windows\update.2\svchost.exe');
 TerminateProcessByName('c:\windows\update.5.0\svchost.exe');
 SetServiceStart('wxpdrivers', 4);
 SetServiceStart('srviecheck', 4);
 SetServiceStart('srvbtcclient', 4);
 StopService('wxpdrivers');
 StopService('srviecheck');
 StopService('srvbtcclient');
 QuarantineFile('C:\Windows\miner2.exe','');
 QuarantineFile('services32.exe','');
 QuarantineFile('C:\Windows\update.tray-14-0\svchost.exe','');
 QuarantineFile('C:\Windows\update.3\svchost.exe','');
 QuarantineFile('C:\Windows\update.6.1\svchost.exe','');
 QuarantineFile('c:\windows\ufa\ufa.exe','');
 QuarantineFile('c:\windows\update.1\svchost.exe','');
 QuarantineFile('c:\windows\update.2\svchost.exe','');
 QuarantineFile('c:\windows\update.5.0\svchost.exe','');
 QuarantineFile('C:\Windows\unrar.exe','');
 QuarantineFile('C:\Windows\myunrar2.exe','');
 DeleteFile('c:\windows\ufa\ufa.exe');
 DeleteFile('C:\Windows\update.5.0\svchost.exe');
 DeleteFile('C:\Windows\update.2\svchost.exe');
 DeleteFile('C:\Windows\update.1\svchost.exe');
 DeleteFile('C:\Windows\update.6.1\svchost.exe');
 DeleteFile('C:\Windows\update.3\svchost.exe');
 DeleteFile('C:\Windows\update.tray-14-0\svchost.exe');
 DeleteFile('C:\Windows\miner2.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico0');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','w_distrib.exe');
 DeleteService('srvinstallvideodrv');
 DeleteService('wxpdrivers');
 DeleteService('srviecheck');
 DeleteService('srvbtcclient');
 DeleteFileMask('c:\windows\ufa','*.*',true);
 DeleteFileMask('C:\Windows\update.5.0','*.*',true);
 DeleteFileMask('C:\Windows\update.2','*.*',true);
 DeleteFileMask('C:\Windows\update.1','*.*',true);
 DeleteFileMask('C:\Windows\update.6.1','*.*',true);
 DeleteFileMask('C:\Windows\update.3','*.*',true);
 DeleteFileMask('C:\Windows\update.tray-14-0','*.*',true);
 DeleteDirectory('c:\windows\ufa');
 DeleteDirectory('C:\Windows\update.5.0');
 DeleteDirectory('C:\Windows\update.2');
 DeleteDirectory('C:\Windows\update.1');
 DeleteDirectory('C:\Windows\update.6.1');
 DeleteDirectory('C:\Windows\update.3');
 DeleteDirectory('C:\Windows\update.tray-14-0');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('srvbtcclient');
 BC_DeleteSvc('srviecheck');
 BC_DeleteSvc('wxpdrivers');
 BC_DeleteSvc('srvinstallvideodrv');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится!!!

После перезагрузки:

4. Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Загрузите quarantine.zip из папки АВЗ через эту форму.

5. Сделайте лог MBAM:
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Полное сканирование", нажмите "Сканирование", после сканирования - Ok - "Показать результаты" - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

6. Повторите логи АВЗ и РСИТ.

Шевченко Иван · 18 Июл 2011

удалил с C:\Windows\update.1, C:\Windows\update.2 (подобные папки скрытые 5.0,6.1) в них лежал svchost.exe и вирусы типа 1000642.exe (находил до этого около 180 вирусов доктором вебом куреит, вирусы в ввиде цифер 2004895.exe и пару svchost.exe)

Techno · 18 Июл 2011

Шевченко Иван написал(а):
удалил с C:\Windows\update.1, C:\Windows\update.2 (подобные папки скрытые 5.0,6.1) в них лежал svchost.exe и вирусы типа 1000642.exe (находил до этого около 180 вирусов доктором вебом куреит, вирусы в ввиде цифер 2004895.exe и пару svchost.exe)

Вы в ручную удаляли?
Скрипт выполнили?

Шевченко Иван · 18 Июл 2011

нажимаю выполнить скрипт в авз, пишет ошибка : ')' expected в позиции 26:17
сам не нашел где скопка или запятая не так.

Добавлено через 1 минуту 53 секунды
в ручную удалил пару папок пока ждал ответа.

Techno · 18 Июл 2011

Шевченко Иван написал(а):
нажимаю выполнить скрипт в авз, пишет ошибка : ')' expected в позиции 26:17
сам не нашел где скопка или запятая не так.

Извините. Поправил, выполняйте.

Шевченко Иван · 18 Июл 2011

скрипт еще не выполнил ошибка не могу запустить выше описал ее

Severnyj · 18 Июл 2011

Страничку обновите, сейчас скрипт без ошибки

Шевченко Иван · 18 Июл 2011

выполнил 4 пункт

Techno · 18 Июл 2011

Шевченко Иван написал(а):
выполнил 4 пункт

Ок, ждем пункты 5 и 6.

Шевченко Иван · 18 Июл 2011

проверяет по 5 пункту, через часик думаю скину.

Techno · 18 Июл 2011

Шевченко Иван написал(а):
проверяет по 5 пункту, через часик думаю скину.

Да, и по окончании проверки, лог прикрепите, а сам MBAM пока не закрывайте.

Шевченко Иван · 18 Июл 2011

вот сделал последние пункты

Techno · 18 Июл 2011

1. Выполните в АВЗ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('C:\Windows\btc_client_iplist.txt','');
 QuarantineFile('C:\Windows\w_distrib_iplist.txt','');
 QuarantineFile('C:\Windows\iecheck_iplist.txt','');
 QuarantineFile('C:\Windows\ddh_iplist.txt','');
 QuarantineFile('C:\Windows\iplist.txt','');
 QuarantineFile('C:\Windows\front_ip_list.txt','');
 QuarantineFile('C:\Windows\winlog-ids.txt','');
 QuarantineFile('C:\Windows\winlog-dirs.txt','');
 DeleteFile('C:\Windows\unrar.exe');
 DeleteFile('C:\Windows\myunrar2.exe');
 DeleteFile('C:\Windows\btc_client_iplist.txt');
 DeleteFile('C:\Windows\w_distrib_iplist.txt');
 DeleteFile('C:\Windows\iecheck_iplist.txt');
 DeleteFile('C:\Windows\ddh_iplist.txt');
 DeleteFile('C:\Windows\iplist.txt');
 DeleteFile('C:\Windows\front_ip_list.txt');
 DeleteFile('C:\Windows\winlog-ids.txt');
 DeleteFile('C:\Windows\winlog-dirs.txt');
 DeleteFile('C:\WINDOWS\SERVICES32.EXE');
 RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wxpdrivers');
 RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\SafeBoot\Network\wxpdrivers');
 RegKeyParamDel ('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico');
 RegKeyParamDel ('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico1');
 RegKeyParamDel ('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico2');
 RegKeyParamDel ('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico3');
 RegKeyParamDel ('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico4');
 RegKeyParamWrite('HKLM','SYSTEM\CurrentControlSet\Control\SafeBoot','AlternateShell','REG_SZ', 'cmd.exe');
 DeleteFileMask('C:\Windows\rpcminer','*.*',true);
 DeleteFileMask('C:\Windows\av_ico','*.*',true);
 DeleteFileMask('c:\Users\user.comp\doctorweb\quarantine','*.*',true);
 DeleteDirectory('C:\Windows\rpcminer');
 DeleteDirectory('C:\Windows\av_ico');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(13);
RebootWindows(true);
end.

Компьютер перезагрузится!!!

После перезагрузки:

2. Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Загрузите quarantine.zip из папки АВЗ через эту форму.

3. Пофиксите в HijackThis:

Код:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;vkontakte.ru;www.vkontakte.ru;vk.com;www.vk.com
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present

Это Вам знакомо?

Код:

C:\Windows\Domino.exe
c:\astashellg\Shell\tools\internat.exe

4. Повторите логи АВЗ и РСИТ.

Шевченко Иван · 18 Июл 2011

c:\astashellg\Shell\tools\internat.exe
начало c:\astashellg\Shell\
там находится программа для блокировки компьютера в игровом зале.
что такое tools\internat.exe не знаю завтра на работе гляну с утра и скажу.

C:\Windows\Domino.exe
это мне не знакомо.

с утра выполню и сделаю пункты все.
СПАСИБО ЗА ПОМОЩЬ!

Решена Проблема с удалением вируса - нужна помощь

Шевченко Иван

Постоянный участник

Вложения

Шевченко Иван

Постоянный участник

Techno

Шевченко Иван

Постоянный участник

Severnyj

Шевченко Иван

Постоянный участник

Techno

Шевченко Иван

Постоянный участник

Techno

Шевченко Иван

Постоянный участник

Techno

Шевченко Иван

Постоянный участник

Severnyj

Шевченко Иван

Постоянный участник

Techno

Шевченко Иван

Постоянный участник

Techno

Шевченко Иван

Постоянный участник

Вложения

Techno

Шевченко Иван

Постоянный участник

Похожие темы