• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена В реестре 225 TCPRoute и 10 вирусов нашлось. Что делать далее?

Статус
В этой теме нельзя размещать новые ответы.

Влад

Активный пользователь
Сообщения
28
Симпатии
0
#1
Здравствуйте!Почти месяц спустя комп начал очень сильно тормозить и инет. malwarbytes нашёл 225 вирусов. cureit нашёл 10 вирусов и после удаления завис. AVZ - не обновил базы, на сайты антивирусов - зайти не удается. HIJACK - создал логи, но прикрепить лог не удалось - пишет, что некорректный файл. логи прилагаю, подскажите, пожалуйста, дальнейшие шаги лечения.:confused:
Есть предположение, что проблемы из-за n e r o . В прошлый раз все началось из-за попытки поудалять ее ручками. затем полезли вирусы, заем слетела "видюха" и пошло-поехало. С видюхой не справился - решил переустанавливать систему, перед этим "почистил" n e r o. И опять вылезла нечисть.
 

Вложения

Последнее редактирование:

icotonev

Ассоциация VN
Сообщения
1,403
Симпатии
1,153
#2
Добрый день ..!

Удалите все найденные с МБАМ...!

Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
 ExecuteRepair(20);
RebootWindows(true);
end.
Внимание !!! База поcледний раз обновлялась 25.08.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Подготовка свежие логи с АВЗ + МБАМ...!
 
Последнее редактирование:

Влад

Активный пользователь
Сообщения
28
Симпатии
0
#3
После удаления найденного МБАМ обновились базы AVZ. Логи прилагаю. Спасибо. Что делать далее?
 

Вложения

Влад

Активный пользователь
Сообщения
28
Симпатии
0
#5
21.30 cure it оооочень долго проверяет папку c\windows\system32\drivers - в корне этой папки файлы с расширением *.sys проверяются со скоростью один файл в полминуты-минуту. Проверка идет третий час. И это БЫСТРАЯ проверка.
21.33Сейчас пошла проверка в других папках - счетчик проверенных файлов "летает" - десятки в секунду.
21.35 По какой-то причине ОПЯТЬ проверяет корневые файлы вышеуказанной папки.
Раньше быстрая проверка занимала от силы 15 минут.

Добавлено через 23 часа 10 минут 32 секунды
Здравствуйте! Инет тормозит, cureit даже не запускаю на полный режим. Что делать дальше?
 
Последнее редактирование:

icotonev

Ассоциация VN
Сообщения
1,403
Симпатии
1,153
#6
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."
 

Влад

Активный пользователь
Сообщения
28
Симпатии
0
#7
Здравствуйте. После начала работы Combo Fix появилась надпись, что есть "детект" руткита. Перезагрузилось, прошло два раза. Инет - тормозит также, пропал значок переключения раскладки клавиатуры (Ru-En). Обратите внимание, что наш Яндекс "использует" фишку: при наборе текста автоматически "подменяет" русскую или латинскую раскладку, если по его - Яндексу- мнению надо "писать" соответственно. И для того, чтобы переключить раскладку с русского на английский (и наоборот) надо нажимать не Shif+Alt(левый), а Shif+Alt(левый)+Alt(левый) - то есть дважды Alt. После работы Combo Fix при замене раскладки опять работает распространенный вариант Shif+Alt(левый) - единожды.
лог Combo Fix прикладываю. Завтра попытаюсь "прогнать" cureit в полном варианте. Есть ли сейчас в этом смысл? И еще : за прошлый месяц исходящий трафик - почти 500 мегабайт. НИКАКИХ файлов кроме штук 40 Word - не отправлял. Вопрос - может ли быть ТЕОРЕТИЧЕСКИ такой трафик?
 

Вложения

icotonev

Ассоциация VN
Сообщения
1,403
Симпатии
1,153
#8
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
Driver::
Folder::
c:\program files\Common Files\b82639d4
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"14437:TCP"=-
FileLook::
DirLook::
Reboot::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
 

Влад

Активный пользователь
Сообщения
28
Симпатии
0
#9
Здравствуйте. Выполнил скрипт, снова "presence" руткит активити. Перезагружался дважды. Лог прилагаю. Не удается зайти на сайты он-лайн проверки на вирусы: эсед 32, вирустотал. Похоже, что на адрес *.com не дает зайти, т.к. на он-лайн адрес в доменной зоне .ru зайти возможно. Что делать дальше?
 

Вложения

akok

Команда форума
Администратор
Сообщения
13,783
Симпатии
11,598
#10
Скачайте GMER по одной из указанных ссылок:
Gmer со случайным именем, Gmer в zip-архиве (перед применением распаковать в отдельную папку)
- Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
  • Sections
  • IAT/EAT
  • Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

И логи AVZ повторите.
 

Влад

Активный пользователь
Сообщения
28
Симпатии
0
#11
Gmer провел экпресс-проверку, а после нажатия СКАН комп сразу перезагрузился. Может, надо было убрать ComboFix? АВЗ делаю.
 

akok

Команда форума
Администратор
Сообщения
13,783
Симпатии
11,598
#12
Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ с паролем virus и отправьте на quarantine<at>safezone.cc с указанием ссылки на тему в поле заголовка(теме) сообщения.. (at=@)

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду ComboFix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up
 

icotonev

Ассоциация VN
Сообщения
1,403
Симпатии
1,153
#14
В логи AВЗ не вижу ничего тревожные...!После удаления ComboFix,попробуйте сделать проверку с Gmer..!

Инструкция - пост 10
 

Влад

Активный пользователь
Сообщения
28
Симпатии
0
#15
AVZ сделал - логи прилагаю. Malware еще 4 выловил. Cure it работает следующим образом: сначала 8100 файлов проверил за 18 минут (довольно быстро), затем проверка папки system32\drivers сильно тормозит - например, amdk6.sys или amdk7.sys проверяет по 15-20 секунд, adinttxx.sys или ati1xbxx.sys - 2 минуты. Итого 200 файлов аж за 40 минут. Примерно 2000 файлов проверялось 1ч 40 минут. Думал, новый алгоритм Cure it , но у отца на довольно древнем ноутбуке - 10 тыс.файлов 54 процесса проверилось за 22 минуты. Примерно такой же длительности проверка была раньше и у меня (полтора месяца назад). Сейчас попробую GMER.
 

Вложения

Влад

Активный пользователь
Сообщения
28
Симпатии
0
#16
Gmer провел экпресс-проверку, а после нажатия СКАН комп сразу перезагрузился. Перезагрузка произошла после проверки Device\Prodrv03 - не знаю, что это такое и из-за него ли? То есть GMER не сработал, после перезагрузки служебное окно мелкомягкого "...система восстановлена...ошибки..отправить отчет...". Инет грузится через раз - то окно "соединение не подключено..", то нормально подключается. Зато на з-олег точка ком свободно захожу.
 

akok

Команда форума
Администратор
Сообщения
13,783
Симпатии
11,598
#17
Не вижу признаков активного заражения.

Раз уж пошла такая пьянка давайте проверим систему AVPtool
 

Влад

Активный пользователь
Сообщения
28
Симпатии
0
#18
И еще: в реестре HKEY LOKAL MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NAUPDATE\0000\ есть DeviceDesc тип REG_SZ со значением @C:program Files\Nero\Update\NASvc.exe,-200 и Service тип REG_SZ со значением NAUPDATE. Это неудаленные остатки. И неудаляемые!!! Есть предположение, что из-за неё все проблемы и есть. Что делать дальше?

Добавлено через 8 минут 59 секунд
AVP не удается скачать - 1 Мб и ..соединение прервано.
 

Влад

Активный пользователь
Сообщения
28
Симпатии
0
#20
Спасибо за ссылку - Я использовал похожую с того же сайта, но она вообще не срабатывала "...неправильный путь..." Ваша хоть что-то начала "делать", но потом "...не обнаружено". И в реестре та же запись осталась. AVP вчера не доработала. Сейчас еще раз запущу. На связь выйду после 18.00. Приложу логи.
 
Последнее редактирование:
Статус
В этой теме нельзя размещать новые ответы.