-
Junior Member
- Вес репутации
- 56
Помогите долечить
Всем добрый вечер!
Основные симптомы:
1. Не пускает на антивирусные сайты (удивительно, но сюда пустил).
2. При запуске любого браузера Предупреждает о каком-то просроченном сертификате, постоянно спрашивает принять или отклонить.
3. Не могу прогнать из c:\Documents and Settings\Admin\Application Data файл 1.exe, он-же висит в автозапуске и после удаления записи она восстанавливается.
Короче, ктото всё это генерачит, а вот кто, выяснить не могу.
Спасибо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Alexey_75, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\documents and settings\admin\application data\1.exe');
QuarantineFile('C:\WINDOWS\C:\WINDOWS\System32\svchost.exe','');
QuarantineFileF('C:\Windows\','svchost.exe', true,'',0 ,0);
QuarantineFile('C:\Documents and Settings\Admin\Application Data\Gcqkqq.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\Daqkqn.exe','');
QuarantineFile('c:\documents and settings\admin\application data\1.exe','');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Gcqkqq.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\1.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Daqkqn.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Gcqkqq');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','PService');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PService');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Daqkqn');
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\wscsvc','Start', 2);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
Установите нормальную системную дату!
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Сделайте лог полного сканирования МВАМ.
Последний раз редактировалось миднайт; 21.02.2012 в 22:24.
Причина: :)
-
-
Junior Member
- Вес репутации
- 56
Файл сохранён как 120221_183937_Quarantine_4f43e4e95937a.zip
Размер файла 400342
MD5 925b5a2db09bf7114f537c6668c3b9d7
новые логи готовятся. На антивиры уже заходит. Всё равно просит подтвердить сертификаты. И появилась новая проблема. После выполнения скрипта лечения - пропала панель задач с треем. Её просто нет. Десктоп с содержимым на прежнем месте. explorer.exe тоже на месте.
Панель задач уже вернул на место.
готовится лог MBAM, затем сделаю RIST
Готов лог МВАМ, только сохранять он его не хочет! пришлось сделать printscreen.
RSIT лог готов.
Последний раз редактировалось Alexey_75; 21.02.2012 в 23:33.
-
+ сделайте лог RSIT за последний месяц.
Добавлено через 42 минуты
real spy monitor сами устанавливали ? Что происходит при нажатие на кнопку сохранить отчёт ?
здесь его тоже нету ?
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Добавлено через 2 минуты
+ что за странная папка состоящая из одних нулей в программ файлс ?
Добавлено через 6 минут
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
Код:
var j:integer; NumStr:string;
begin
for j:=0 to 999 do
begin
if j=0 then
NumStr:='CurrentControlSet' else
if j<10 then
NumStr:='ControlSet00'+IntToStr(j) else
if j<100 then
NumStr:='ControlSet0'+IntToStr(j) else
NumStr:='ControlSet'+IntToStr(j);
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
end;
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wscsvc') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wscsvc');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wscsvc', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wscsvc исправлено на оригинальное.');
end;
end;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
fystemRoot.log из папки AVZ прикрепите
+ новый лог virusinfo_syscheck.zip
Добавлено через 7 минут
+ исправьте наконец дату в компьютере
Последний раз редактировалось regist; 22.02.2012 в 00:01.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 56
real spy monitor не устанавливал.
при нажатии на "сохранить отчёт" открывается окно сохранения, но лога в виде блокнота просто нет. После "типа сохранения" по адресу его тоже нет.
в програм файлс папка с нулями - там линки к НТС-утилитам.
Ну отстают ровно на год, ничё страшного! Батарейку менял, видать, в БИОСЕ промахнулся.
ЗЫ: по прежнему запрашивает сертификаты.
2 regist, щас переделаю.
готово. в аттаче свежие.
правда, обещаного рестарта небыло
Последний раз редактировалось Alexey_75; 22.02.2012 в 00:13.
-
Перезагрузите компьютер и ещё раз повторите лог virusinfo_syscheck.zip
Сообщение от
Alexey_75
Ну отстают ровно на год, ничё страшного! Батарейку менял, видать, в БИОСЕ промахнулся.
ЗЫ: по прежнему запрашивает сертификаты.
проблема с сертификатами скорей всего была связана именно с неверной датой.
что сейчас с проблемой ?
Добавлено через 10 минут
Сообщение от
Alexey_75
real spy monitor не устанавливал.
в установке удаление программ как понимаю его тоже нет?
Если он установлен у вас против вашего согласия, то для его удаления
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFileF('C:\Program Files\Real Spy Monitor','*', true,'',0 ,0);
DeleteFileMask('C:\Program Files\Real Spy Monitor','*',true);
DeleteDirectory('C:\Program Files\Real Spy Monitor');
ExecuteWizard('TSW',2,3,true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip)
Последний раз редактировалось regist; 22.02.2012 в 00:34.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 56
Да, я както не подумал.
Проблема с сертификатами была именно из-за времени.
Визуальных проблем больше нет.
-
Сделайте поиск в реестре следующего параметра
Код:
C:\WINDOWS\C:\WINDOWS\System32\svchost.exe
ветки где он будет экспортируйте и прикрепите к своему сообщению.
в предыдущем посте написал скрипт для удаления Real Spy Monitor если он вам не нужен, но сначала попытайтесь удалить через установку удаление программ.
Добавлено через 7 минут
ЗЫ. поиск в реестре удобно делать через AVZ:
Сервис - Поиск данных в реестре.
Последний раз редактировалось regist; 22.02.2012 в 00:51.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 56
Поиск выполнил и так и так. Данных, удовлетворяющих условию, не обнаружено. просмотрено ключей over100К.
Real Spy Monitor без проблем удалился собственным унинсталлером.
-
Еще один поиск через AVZ сделайте
Поиск в реестре wscsvc
Если найдется, то отметить, и нажать внизу кнопочку: создать reg-файл
Файл выложите сюда.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
+ по скольку на вашем компьютере был установлен шпион, то рекомендую сменить все пароли.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\admin\\application data\\gcqkqq.exe - HEUR:Trojan.Win32.Generic ( DrWEB: BackDoor.IRC.NgrBot.42, BitDefender: Trojan.Generic.7258096, AVAST4: Win32:Kryptik-HLV [Trj] )
- c:\\documents and settings\\admin\\application data\\1.exe - Trojan.Win32.Buzus.lahe ( DrWEB: BackDoor.IRC.NgrBot.42, BitDefender: Trojan.Generic.7258096, AVAST4: Win32:Kryptik-HLV [Trj] )
-