Решена x30811.exe

Тема в разделе "Лечение компьютерных вирусов", создана пользователем vglp, 27 ноя 2011.

Статус темы:
Закрыта.
  1. vglp
    Оффлайн

    vglp Активный пользователь

    Сообщения:
    18
    Симпатии:
    0
    появляются непонятные процессы: x30811.exe, 2A.exe, 14.exe и подобные (с цифрами)
     

    Вложения:

    • virusinfo_syscure.zip
      Размер файла:
      22,3 КБ
      Просмотров:
      3
    • virusinfo_syscheck.zip
      Размер файла:
      21,4 КБ
      Просмотров:
      1
    • log.txt
      Размер файла:
      66,4 КБ
      Просмотров:
      5
    • info.txt
      Размер файла:
      28,8 КБ
      Просмотров:
      0
  2. Инфо.Бот

    Ботан Злостный спам-бот

    Добро пожаловать!

    Вы обратились в раздел лечения форума Safezone.cc!

    Если Вы этого еще не сделали, выполните пожалуйста правила оформления запроса и прикрепите полученные логи к своему следующему сообщению.

    Ожидайте ответа консультанта.

    Помните, что помощь оказывается бесплатно в свободное от других занятий время.

    Благодарим за ожидание.

     
  3. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.779
    Симпатии:
    14.132
    Смотрю логи

    Добавлено через 5 минут 46 секунд
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\Drivers\sptd.sys','');
     QuarantineFile('C:\Program Files\Apoint2K\Apoint.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\Application Data\Juvavj.exe','');
     QuarantineFile('C:\WINDOWS\hex(2):53','');
     QuarantineFile('c:\documents and settings\admin\start menu\programs\startup\taskmgr.exe','');
     DeleteFile('c:\documents and settings\admin\start menu\programs\startup\taskmgr.exe');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\Juvavj.exe');
      BC_ImportALL;
      ExecuteSysClean;
     BC_Activate;
     ExecuteRepair(16);
      RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
     
  4. vglp
    Оффлайн

    vglp Активный пользователь

    Сообщения:
    18
    Симпатии:
    0
    Malwarebytes' Anti-Malware ЛОГ
     

    Вложения:

  5. Severnyj
    Онлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Лучший автор месяца

    Сообщения:
    8.396
    Симпатии:
    9.082
    Повторите сканирование в MBAM и удалите все кроме:

    Код (Text):
    c:\WINDOWS\kmsem\kmservice.exe (Trojan.FakeAlert) -> No action taken
    .
     
  6. vglp
    Оффлайн

    vglp Активный пользователь

    Сообщения:
    18
    Симпатии:
    0
    сделано!

    посоветуйте, пожалуйста, какой-нибудь оптимальный вариант антивируса (программы) для защиты и чтоб сильно не грузил систему, т.к. железо старенькое..

    спс:)
     
  7. Severnyj
    Онлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Лучший автор месяца

    Сообщения:
    8.396
    Симпатии:
    9.082
    Сделайте повторный комплект логов AVZ и RSIT - обычно эта зараза не сразу удаляется.

    Любой антивирус не даст 100% защиты если не выполнять паралельно другие правила (ограниченная учетная запись, обновляемое ПО итд).

    Могу посоветовать бесплатные антивирусы и Internet Security
    - Avira
    - Avast
    - CIS
    - FortiClient Lite
     
    Последнее редактирование: 30 ноя 2011
  8. vglp
    Оффлайн

    vglp Активный пользователь

    Сообщения:
    18
    Симпатии:
    0
    Извиняюсь за задержку)
     

    Вложения:

    • info.txt
      Размер файла:
      28,6 КБ
      Просмотров:
      2
    • log.txt
      Размер файла:
      72,2 КБ
      Просмотров:
      7
    • virusinfo_syscure.zip
      Размер файла:
      21,5 КБ
      Просмотров:
      4
    • virusinfo_syscheck.zip
      Размер файла:
      21 КБ
      Просмотров:
      2
  9. Severnyj
    Онлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Лучший автор месяца

    Сообщения:
    8.396
    Симпатии:
    9.082
    Смогу поглядеть только ночью, если никто не ответит - ждите
     
  10. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.508
    Симпатии:
    4.674
    Скачайте и установите все последние обновления для безопасности windows

    Установите Internet Explorer 8 (даже если им не пользуетесь)

    Обновите используемое програмное обеспечение до последних актуальных версий.

    Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ

    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\1B5.tmp','');
     QuarantineFile('C:\Documents and Settings\Admin\Application Data\5B6.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\Application Data\598.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\Application Data\A.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\Application Data\18.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\Application Data\D.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\Application Data\B.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\Application Data\2A.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\Application Data\36.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\Application Data\E.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\Application Data\14.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\Application Data\EC.exe','');
     DeleteFile('C:\WINDOWS\system32\1B5.tmp');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\5B6.exe');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\598.exe');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\A.exe');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\18.exe');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\D.exe');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\B.exe');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\2A.exe');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\36.exe');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\E.exe');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\14.exe');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\EC.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteWizard('SCU',2,3,true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится, После перезагрузки:
    - выполните такой скрипт
    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Полученный архив отправьте с помощью этой формы

    Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

    1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
    2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
    Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

    Подробнее в "ComboFix. Руководство по применению."
     
    Последнее редактирование: 4 дек 2011
    1 человеку нравится это.
  11. vglp
    Оффлайн

    vglp Активный пользователь

    Сообщения:
    18
    Симпатии:
    0
    Выполнено!
     

    Вложения:

    • ComboFix.txt
      Размер файла:
      20,2 КБ
      Просмотров:
      6
  12. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.508
    Симпатии:
    4.674
    В логе чисто. Проблема осталась?

    Выполните скрипт в АВЗ
    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
     DeleteFileMask('C:\Documents and Settings\Admin\Application Data\', '*.exe', false);
     DeleteFileMask('C:\Documents and Settings\Admin\Application Data\', '*.tmp', false);
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteWizard('SCU',2,3,true);
    RebootWindows(true);
    end.
    Повторите сканирование AVZ и Rsit.
     
    Последнее редактирование: 4 дек 2011
  13. vglp
    Оффлайн

    vglp Активный пользователь

    Сообщения:
    18
    Симпатии:
    0
    Проблемы нет больше)

    новые логи:
     

    Вложения:

    • info.txt
      Размер файла:
      30,8 КБ
      Просмотров:
      1
    • log.txt
      Размер файла:
      71,4 КБ
      Просмотров:
      1
    • virusinfo_syscure.zip
      Размер файла:
      21,7 КБ
      Просмотров:
      1
    • virusinfo_syscheck.zip
      Размер файла:
      21,2 КБ
      Просмотров:
      1
  14. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.508
    Симпатии:
    4.674
    Хорошо, в логах тоже чисто.

    Деинсталируйте МВАМ
    Пуск-панель управления-установка удаление программ, найдите МВАМ-нажмите удалить.

    Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"
    [​IMG]

    Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

    Вам необходимо:
    1.создать новую контрольную точку восстановления и очистить предыдущие.
    2.очистить временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner.
    3.на вашем компьютере разрешен авто-запуск со сменных носителей, во- избежании повторных заражений рекомендую его отключить:
    скопируйте это в блокнот и сохраните с произвольным именем и расширением .reg
    Код (Text):
    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
    "NoDriveTypeAutoRun"=dword:000000dd
    Запустите сохраненный файл, на запрос ответить - да.

    Заражение вашего компьютера происходило через уязвимости системы, поэтому выполняйте пожалуйста рекомендации:
    - не работать за компьютером с правами администратора
    - не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)
    - регулярно устанавливать обновления windows
    - регулярно проверять систему антивирусными утилитами CureIT и AVPTool.
    - регулярно обновлять антивирус и антивирусные базы

    Всего хорошего.
     
    3 пользователям это понравилось.
Статус темы:
Закрыта.