Показано с 1 по 16 из 16.

Помогите добить вирус (заявка № 71783)

  1. #1
    Junior Member Репутация
    Регистрация
    19.02.2010
    Сообщений
    22
    Вес репутации
    52

    Thumbs up Помогите добить вирус

    Помогите добить гада, Cureit и AVPTool удалили зараженные файлы и больше ничего не находят, но то ли сам вирус, то ли его последствия ещё сохранились: блокируется страница скачивания cureit, Windows XP чуть дольше обычного грузит процессы после включения, а в результате в трее каждый раз разное количество значков, иногда даже громкость не отображает.

    История проблемы.
    Вчера после загрузки винда не смогла отобразить картинку фона рабочего стола, вместо неё на белом фоне красовалась надпись "невозможно загрузить Active Desktop" с предложением "восстановить desktop" (кнопка), которое ничем не помогало: вылетала ошибка "операция не может быть применена к данному объекту". В противном случае предлагался совет отключить web-элементы рабочего стола (которых и так нет). Решил убрать проблему самым простым и топорным способом: встроенным откатом системы. Включаю его, а там сюрприз: девственная чистота, все точки восстановления пропали. Понял, что здесь не просто ошибка, а проделки зловреда. Кое-как наладив картинку рабочего стола (поставил стандартные настройки обозревателя) включил Cureit (постоянного антивируса на компьютере нет), который грохнул пару зараженных файлов из системной папки. Но на этом проблемы не закончились. Обнаружились в дальнейшем за вечер следующие проблемы:

    1. При загрузке в трее почти всегда разное число значков, процессы грузятся после появления рабочего стола чуть дольше обычного.

    2. В system32 остались явно зловредские exe с иконкой "черный квадрат", время создания всех различное, но в день после заражения. Имена в стиле QV4p62G.exe, описание и производитель - рандомный набор латиницы. Cureit и AVRTool не считают их зараженными, вручную удалил десяток этих файлов, 2 оставил "для коллекции" специалистам, могу выслать.

    3. Некоторые сайты заблокированы, долгое время даже youtube не работал (в это же время на другом компе, подключенном к тому же маршрутизатору всё нормально открывалось). Потом youtube заработал, но сайты с советами по лечению вирусов, скачкой соответствующего ПО не открывались (в том числе и virusinfo). Открыл блокнотом файл Host, а там комментарий "some shit to block" и куча сайтов по антивирусной тематике с комментариями в стиле "#Kas Smersky#". Всё вручную очистил, оставил только 127.0.0.1 localhost. но и после этого не все сайты открываются, например, я могу зайти на сайт DR WEB, но не могу перейти во вкладку "скачать" download.drweb.com, так что новый cureit я скачал и перенес с другого компа.

    4. Нарушение работы IE 8. При первом открытии после загрузки системы окно IE всегда открывалось "неполноценное", без половины панелей и без адресной строки. Далее при новых запусках IE и открытии новых окон тоже часто появлялись "неполноценные окна". Переустановка IE проблему не решила.

    В итоге скачал последнюю версию cureit, AVPTool, AVZ, HJT (первый только с другого компа), проверил первыми двумя. Cureit ничего нового не нашел в этот раз, AVPTool удалил несколько зараженных файлов из system32 (Trojan.Win32.Agen.dish, Backdoor.Win32.Bredav.bzy) и аналогичную дрянь из System Volume Information (Trojan.Win32.Agen.dish, Backdoor.Win32.Bredav.bzy, Trojan.Win32.Agen.diro).
    После проверок 2мя сканнерами IE заработал без "неполноценных" папок, но зайти на скачивание cureit всё равно не могу. Плюс странная загрузка иконок в трее (см выше). Есть подозрение, что часть вируса не удалена.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Цитата Сообщение от SerzhPiter Посмотреть сообщение
    вручную удалил десяток этих файлов, 2 оставил "для коллекции" специалистам, могу выслать.
    Пришлите по правилам.

  4. #3
    Junior Member Репутация
    Регистрация
    19.02.2010
    Сообщений
    22
    Вес репутации
    52
    Отправил как полагается архив с двумя этими экземплярами.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    1. Профиксите в HijackThis как "профиксить в HiJackThis"
    Код:
    O9 - Extra button: 360И¦ - {998A88A0-A355-809B-831C-B83A80000991} - http://new.360quan.com/?afid=18634&lev1=1&ac=XXXX&bc=XXXX (file missing)
    O9 - Extra 'Tools' menuitem: 360И¦ - {998A88A0-A355-809B-831C-B83A80000991} - http://new.360quan.com/?afid=18634&lev1=1&ac=XXXX&bc=XXXX (file missing)
    O4 - HKLM\..\Run: [13522964] C:\Documents and Settings\All Users.WINDOWS\Application Data\13522964\13522964.exe
    2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Выгрузите антивирус и/или Файрвол
    - Закройте все программы
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     SetAVZPMStatus(true);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('C:\Documents and Settings\All Users.WINDOWS\Application Data\13522964\13522964.exe','');
     StopService('GPCIDrv');
     QuarantineFile('C:\WINDOWS\GPCIDrv.sys','');
     DeleteFile('C:\Documents and Settings\All Users.WINDOWS\Application Data\13522964\13522964.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','13522964');
     BC_ImportAll;
     ExecuteSysClean;
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

  6. #5
    Junior Member Репутация
    Регистрация
    19.02.2010
    Сообщений
    22
    Вес репутации
    52
    Выполнил скрипты, карантин отослал. Грузится после запуска Windows теперь быстрее, с треем вроде всё в порядке, но страница загрузки cureit по прежнему не открывается. Прилагаю новые логи.

  7. #6
    Junior Member Репутация
    Регистрация
    19.02.2010
    Сообщений
    22
    Вес репутации
    52
    Помогите, плиз, разобраться, что блокирует страницу загрузки cureit. Она по прежнему недоступна.

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    C:\Program Files\PPLive\PPLive.exe - эта программа Вам известна?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    19.02.2010
    Сообщений
    22
    Вес репутации
    52
    Известна. P2P проигрыватель, стоит давно уже.

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    В логах похоже что чисто. Проверим 2 файла. Добавьте в карантин вручную файлы:
    C:\WINDOWS\GPCIDrv.sys
    C:\WINDOWS\system32\Drivers\GVTDrv.sys

    и пришлите их согласно правил.

  11. #10
    Junior Member Репутация
    Регистрация
    19.02.2010
    Сообщений
    22
    Вес репутации
    52
    Файлы отправил.

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    в командной строке наберите: route print >c:\route.txt
    route.txt прикрепите к теме.

  13. #12
    Junior Member Репутация
    Регистрация
    19.02.2010
    Сообщений
    22
    Вес репутации
    52
    Прикрепляю к сообщению route.

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - В командной строке наберите: route -f

    отпишитесь о проблеме, после

  15. #14
    Junior Member Репутация
    Регистрация
    19.02.2010
    Сообщений
    22
    Вес репутации
    52
    Сделал, теперь заходит на недоступные до этого страницы, вроде всё OK. Спасибо за помощь!

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    Пожалуйста!!
    Вы можете отблагодарить весь проект VirusInfo вот тут.

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 8
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\qv4p62g.exe - Trojan.Win32.Agent.dkww ( BitDefender: Trojan.Generic.3214917, NOD32: Win32/Spy.Shiz.NAE trojan, AVAST4: Win32:Spyware-gen [Spy] )
      2. c:\windows\system32\tdfztxz.exe - Trojan.Win32.Agent.dkww ( BitDefender: Trojan.Generic.3214917, NOD32: Win32/Spy.Shiz.NAE trojan, AVAST4: Win32:Spyware-gen [Spy] )


  • Уважаемый(ая) SerzhPiter, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Помогите добить вирус
      От fil360 в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 24.03.2012, 01:15
    2. Помогите добить вирус
      От MacKena в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 02.03.2010, 23:30
    3. Помогите добить вирус
      От lehich83 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 16.02.2010, 22:21
    4. Помогите добить вирус
      От basement в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 06:00
    5. Помогите добить вирус
      От Saturn в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 11.02.2009, 13:53

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01666 seconds with 19 queries