1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Решена x30811.exe

Тема в разделе "Лечение компьютерных вирусов", создана пользователем vglp, 27 ноя 2011.

Статус темы:
Закрыта.
  1. vglp
    Оффлайн

    vglp Активный пользователь

    Сообщения:
    18
    Симпатии:
    0
    Баллы:
    171
    появляются непонятные процессы: x30811.exe, 2A.exe, 14.exe и подобные (с цифрами)
     

    Вложения:

    • virusinfo_syscure.zip
      Размер файла:
      22,3 КБ
      Просмотров:
      3
    • virusinfo_syscheck.zip
      Размер файла:
      21,4 КБ
      Просмотров:
      1
    • log.txt
      Размер файла:
      66,4 КБ
      Просмотров:
      5
    • info.txt
      Размер файла:
      28,8 КБ
      Просмотров:
      0
  2. Инфо.Бот

    Ботан Злостный спам-бот

    Добро пожаловать!

    Вы обратились в раздел лечения форума Safezone.cc!

    Если Вы этого еще не сделали, выполните пожалуйста правила оформления запроса и прикрепите полученные логи к своему следующему сообщению.

    Ожидайте ответа консультанта.

    Помните, что помощь оказывается бесплатно в свободное от других занятий время.

    Благодарим за ожидание.

     
  3. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    13.085
    Симпатии:
    14.376
    Баллы:
    2.193
    Смотрю логи

    Добавлено через 5 минут 46 секунд
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\Drivers\sptd.sys','');
     QuarantineFile('C:\Program Files\Apoint2K\Apoint.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\Application Data\Juvavj.exe','');
     QuarantineFile('C:\WINDOWS\hex(2):53','');
     QuarantineFile('c:\documents and settings\admin\start menu\programs\startup\taskmgr.exe','');
     DeleteFile('c:\documents and settings\admin\start menu\programs\startup\taskmgr.exe');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\Juvavj.exe');
      BC_ImportALL;
      ExecuteSysClean;
     BC_Activate;
     ExecuteRepair(16);
      RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
     
  4. vglp
    Оффлайн

    vglp Активный пользователь

    Сообщения:
    18
    Симпатии:
    0
    Баллы:
    171
    Malwarebytes' Anti-Malware ЛОГ
     

    Вложения:

  5. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    8.469
    Симпатии:
    9.188
    Баллы:
    663
    Повторите сканирование в MBAM и удалите все кроме:

    Код (Text):
    c:\WINDOWS\kmsem\kmservice.exe (Trojan.FakeAlert) -> No action taken
    .
     
  6. vglp
    Оффлайн

    vglp Активный пользователь

    Сообщения:
    18
    Симпатии:
    0
    Баллы:
    171
    сделано!

    посоветуйте, пожалуйста, какой-нибудь оптимальный вариант антивируса (программы) для защиты и чтоб сильно не грузил систему, т.к. железо старенькое..

    спс:)
     
  7. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    8.469
    Симпатии:
    9.188
    Баллы:
    663
    Сделайте повторный комплект логов AVZ и RSIT - обычно эта зараза не сразу удаляется.

    Любой антивирус не даст 100% защиты если не выполнять паралельно другие правила (ограниченная учетная запись, обновляемое ПО итд).

    Могу посоветовать бесплатные антивирусы и Internet Security
    - Avira
    - Avast
    - CIS
    - FortiClient Lite
     
    Последнее редактирование: 30 ноя 2011
  8. vglp
    Оффлайн

    vglp Активный пользователь

    Сообщения:
    18
    Симпатии:
    0
    Баллы:
    171
    Извиняюсь за задержку)
     

    Вложения:

    • info.txt
      Размер файла:
      28,6 КБ
      Просмотров:
      2
    • log.txt
      Размер файла:
      72,2 КБ
      Просмотров:
      7
    • virusinfo_syscure.zip
      Размер файла:
      21,5 КБ
      Просмотров:
      4
    • virusinfo_syscheck.zip
      Размер файла:
      21 КБ
      Просмотров:
      2
  9. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    8.469
    Симпатии:
    9.188
    Баллы:
    663
    Смогу поглядеть только ночью, если никто не ответит - ждите
     
  10. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.760
    Симпатии:
    4.762
    Баллы:
    593
    Скачайте и установите все последние обновления для безопасности windows

    Установите Internet Explorer 8 (даже если им не пользуетесь)

    Обновите используемое програмное обеспечение до последних актуальных версий.

    Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ

    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\1B5.tmp','');
     QuarantineFile('C:\Documents and Settings\Admin\Application Data\5B6.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\Application Data\598.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\Application Data\A.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\Application Data\18.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\Application Data\D.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\Application Data\B.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\Application Data\2A.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\Application Data\36.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\Application Data\E.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\Application Data\14.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\Application Data\EC.exe','');
     DeleteFile('C:\WINDOWS\system32\1B5.tmp');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\5B6.exe');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\598.exe');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\A.exe');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\18.exe');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\D.exe');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\B.exe');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\2A.exe');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\36.exe');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\E.exe');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\14.exe');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\EC.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteWizard('SCU',2,3,true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится, После перезагрузки:
    - выполните такой скрипт
    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Полученный архив отправьте с помощью этой формы

    Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

    1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
    2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
    Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

    Подробнее в "ComboFix. Руководство по применению."
     
    Последнее редактирование: 4 дек 2011
    1 человеку нравится это.
  11. vglp
    Оффлайн

    vglp Активный пользователь

    Сообщения:
    18
    Симпатии:
    0
    Баллы:
    171
    Выполнено!
     

    Вложения:

    • ComboFix.txt
      Размер файла:
      20,2 КБ
      Просмотров:
      6
  12. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.760
    Симпатии:
    4.762
    Баллы:
    593
    В логе чисто. Проблема осталась?

    Выполните скрипт в АВЗ
    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
     DeleteFileMask('C:\Documents and Settings\Admin\Application Data\', '*.exe', false);
     DeleteFileMask('C:\Documents and Settings\Admin\Application Data\', '*.tmp', false);
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteWizard('SCU',2,3,true);
    RebootWindows(true);
    end.
    Повторите сканирование AVZ и Rsit.
     
    Последнее редактирование: 4 дек 2011
  13. vglp
    Оффлайн

    vglp Активный пользователь

    Сообщения:
    18
    Симпатии:
    0
    Баллы:
    171
    Проблемы нет больше)

    новые логи:
     

    Вложения:

    • info.txt
      Размер файла:
      30,8 КБ
      Просмотров:
      1
    • log.txt
      Размер файла:
      71,4 КБ
      Просмотров:
      1
    • virusinfo_syscure.zip
      Размер файла:
      21,7 КБ
      Просмотров:
      1
    • virusinfo_syscheck.zip
      Размер файла:
      21,2 КБ
      Просмотров:
      1
  14. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.760
    Симпатии:
    4.762
    Баллы:
    593
    Хорошо, в логах тоже чисто.

    Деинсталируйте МВАМ
    Пуск-панель управления-установка удаление программ, найдите МВАМ-нажмите удалить.

    Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"
    [​IMG]

    Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

    Вам необходимо:
    1.создать новую контрольную точку восстановления и очистить предыдущие.
    2.очистить временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner.
    3.на вашем компьютере разрешен авто-запуск со сменных носителей, во- избежании повторных заражений рекомендую его отключить:
    скопируйте это в блокнот и сохраните с произвольным именем и расширением .reg
    Код (Text):
    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
    "NoDriveTypeAutoRun"=dword:000000dd
    Запустите сохраненный файл, на запрос ответить - да.

    Заражение вашего компьютера происходило через уязвимости системы, поэтому выполняйте пожалуйста рекомендации:
    - не работать за компьютером с правами администратора
    - не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)
    - регулярно устанавливать обновления windows
    - регулярно проверять систему антивирусными утилитами CureIT и AVPTool.
    - регулярно обновлять антивирус и антивирусные базы

    Всего хорошего.
     
    3 пользователям это понравилось.
Статус темы:
Закрыта.

Поделиться этой страницей