Решена x30811.exe (вирус, который грузит систему)

Статус
В этой теме нельзя размещать новые ответы.

rutten

Новый пользователь
Сообщения
9
Реакции
0
Здравствуйте, помогите разобраться с вирусом x30811.exe, который грузит систему.

По всей видимости данный вирус появился с флешки. На флешке у всех папок поменялись атрибуты - они стали невидимыми (я это исправил с помощью Total Commander ), так же я обнаружил вредоносную программу, которую тоже удалил. Сразу после удаления данной программы воспроизвелась аудио запись, которая гласила "Пощады не будет". Видимо именно после этого мой компьютер заразился.

Сразу же я принял меры, проверил флешку на вирусы (их там не оказалось, я подумал из-за того, что я их удалил), и проверил компьютер на вируссы, антивирус нашел их. Я думал, что все утряслось. Но при перезагрузке компьютера вирус x30811.exe снова вернулся, а на флешке, при повторной вставке её в компьютер, снова вернулась проблема - все папки стали невидимы, и снова вернулась та вредоносная программа, которую я удалил ранее.
 

Вложения

  • virusinfo_syscure.zip
    29.3 KB · Просмотры: 3
  • virusinfo_syscheck.zip
    28.8 KB · Просмотры: 1
  • info.txt
    47.1 KB · Просмотры: 1
  • log.txt
    24.8 KB · Просмотры: 4
В log.txt присутствует такая строчка: HijackThis download failed - значит я что-то сделал не правильно?
 
Привет, смотрю логи, скоро отвечу

Добавлено через 2 минуты 15 секунд
Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\documents and settings\artem\application data\regsrv64.exe');
 QuarantineFileF('c:\documents and settings\artem\', '*.exe', false, '', 0, 0);
 QuarantineFile('\\?\globalroot\systemroot\system32\ntfs_ext7.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\eBBTMT8.exe','');
 QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
 QuarantineFile('C:\Documents and Settings\artem\Application Data\Ysgogm.exe','');
 QuarantineFile('C:\Documents and Settings\artem\Application Data\Jtgogx.exe','');
 QuarantineFile('C:\DOCUME~1\artem\LOCALS~1\Temp\pdfupd.exe','');
 QuarantineFile('C:\7675700.exe','');
 QuarantineFile('c:\documents and settings\artem\application data\regsrv64.exe','');
 DeleteFile('C:\7675700.exe');
 DeleteFile('C:\DOCUME~1\artem\LOCALS~1\Temp\pdfupd.exe');
 DeleteFile('C:\Documents and Settings\artem\Application Data\Jtgogx.exe');
 DeleteFile('C:\Documents and Settings\artem\Application Data\Ysgogm.exe');
 DeleteFile('C:\Documents and Settings\artem\Application Data\regsrv64.exe');
 DeleteFile('C:\WINDOWS\system32\sdra64.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\eBBTMT8.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\ntfs_ext7.exe');
 DeleteFile('C:\WINDOWS\system32\eBBTMT8.exe');
 DeleteFile('C:\WINDOWS\system32\ntfs_ext7.exe');
 DeleteFileMask('C:\Documents and Settings\artem\Application Data\', '*.exe', false);
 RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\DOCUME~1\artem\LOCALS~1\Temp\pdfupd.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wwwb');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','start 1');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Jtgogx');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Ysgogm');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft DLL Registration');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NTFS_ext_drv');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Generic Host for Win32 Services');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 if MessageDLG('Заражение Вашего компьютера произошло через автоматический запуск программ на съемных накопителях. Отключить автозапуск?', mtConfirmation, mbYes+mbNo, 0) = 6 then
 RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'NoDriveTypeAutoRun', '221');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив из папки с распакованной AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Сделайте новые логи AVZ и RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
 
Прастите за задержку, долго сканировался компьютер по средствам Malwarebytes' Anti-Malware.

Все во вложениях.
Так же вопрос: Malwarebytes' Anti-Malware нашел у меня около 246 вредоносных программ, и предложил удалить их, мне их удалять?
 

Вложения

  • mbam-log-2011-12-17 (14-59-47).txt
    45 KB · Просмотры: 3
  • log.txt
    38 KB · Просмотры: 1
  • info.txt
    46.7 KB · Просмотры: 0
  • virusinfo_syscheck.zip
    25.2 KB · Просмотры: 0
  • virusinfo_syscure.zip
    25.9 KB · Просмотры: 1
Кроме кейгена можете все удалять

Добавлено через 3 минуты 41 секунду
Пофиксите в HJT:

Код:
R3 - URLSearchHook: (no name) - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file)
R3 - URLSearchHook: (no name) -  - (no file)

Proxy сами настраивали: 211.233.134.47
 
Под кейгеном вы имете ввиду тот файл на диске Д, в директории: D:\Install\EVEREST_Ultimate_Edition_5.30.1900\Ключи\keygen.exe?
Если да, то сейчас удалю.
 
Насчет прокси, что вы имеет ввиду? Да я его сам настраивал, но это не столь важно, этот прокси стоит в Интернет Експлорере - но я им не пользуюсь. Это корейский прокси, нужен был для регистрации на корейском сайте.
---------------------------------------------------------------
Я пофиксил - нажал на кнопку Fix checked, а что дальше, появилось пустое окошко, внизу которого много кнопок, одна из них кнопка Scan - мне ее нажимать?
 
Последнее редактирование:
Еще разик лог RSIT сделайте.

Как самочувствие системы?
 
Самочуствие системы - прекрассно :) Из-за того, что я делал кучу логов, скриптов и сканирования компьютера, мне приходилось его много раз перезагружать, и после каждой перезагрузки активность вируса не наблюдается, он не включается. И это хорошо :)

Так мне в программе HijackThis нажимать кнопку Scan после того как я нажал кнопку Fix Cheked? А то программа так и висит открытая :)

Во вложениях лог RSIT. Только лог, без info.txt (этот файлик почемуто он не сделал).
 

Вложения

  • log.txt
    38.4 KB · Просмотры: 1
Так мне в программе HijackThis нажимать кнопку Scan после того как я нажал кнопку Fix Cheked?
Все, что надо сделали.

В логах чисто

Необходимо очистить ранее созданную точку восстановления и создать новую:
1. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
2. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить

Для предотвращения заражения рекомендуется:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность
- регулярно устанавливать обновления windows и антивирусного продукта (обновлять антивирусные базы и модули)
 
Все сделано! СПАСИБО ВАМ ОГРОМНОЕ!

Очень оперативно и понятно! Если бы не вы, то я не знаю, что б я делал :)

О и чуть не забыл, а что мне делать с моим флеш-носителем? Я конешно удалил с флешки вирус, и проверил его антивирусом, но после того как я высовывал и всовывал флешку заново в компьютер, вирус на ней возвращался.
 
Автозапуск мы отключили поэтому не должен возвращаться
 
Я имел ввиду как мне почистить флешку от вируса, или если я его оттуда удалил, то он не вернется на флешку.

Мне просто важно еще починить флешку!
 
А с чего им заражаться система-то чиста - если тольк на чужом компьютере
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу