Показано с 1 по 13 из 13.

Помогите долечить (заявка № 116964)

  1. #1
    Junior Member Репутация
    Регистрация
    20.05.2009
    Сообщений
    195
    Вес репутации
    56

    Помогите долечить

    Всем добрый вечер!

    Основные симптомы:
    1. Не пускает на антивирусные сайты (удивительно, но сюда пустил).
    2. При запуске любого браузера Предупреждает о каком-то просроченном сертификате, постоянно спрашивает принять или отклонить.
    3. Не могу прогнать из c:\Documents and Settings\Admin\Application Data файл 1.exe, он-же висит в автозапуске и после удаления записи она восстанавливается.
    Короче, ктото всё это генерачит, а вот кто, выяснить не могу.

    Спасибо.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Alexey_75, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Здравствуйте!

    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Выполните скрипт в АВЗ -

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\documents and settings\admin\application data\1.exe');
     QuarantineFile('C:\WINDOWS\C:\WINDOWS\System32\svchost.exe','');
     QuarantineFileF('C:\Windows\','svchost.exe', true,'',0 ,0);
     QuarantineFile('C:\Documents and Settings\Admin\Application Data\Gcqkqq.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\Application Data\Daqkqn.exe','');
     QuarantineFile('c:\documents and settings\admin\application data\1.exe','');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\Gcqkqq.exe');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\1.exe');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\Daqkqn.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Gcqkqq');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','PService');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PService');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Daqkqn');
     RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
     RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\wscsvc','Start', 2);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - Выполните в АВЗ:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    Установите нормальную системную дату!

    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)


    - Сделайте лог полного сканирования МВАМ.

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    20.05.2009
    Сообщений
    195
    Вес репутации
    56
    Файл сохранён как 120221_183937_Quarantine_4f43e4e95937a.zip
    Размер файла 400342
    MD5 925b5a2db09bf7114f537c6668c3b9d7

    новые логи готовятся. На антивиры уже заходит. Всё равно просит подтвердить сертификаты. И появилась новая проблема. После выполнения скрипта лечения - пропала панель задач с треем. Её просто нет. Десктоп с содержимым на прежнем месте. explorer.exe тоже на месте.

    Панель задач уже вернул на место.
    готовится лог MBAM, затем сделаю RIST

    Готов лог МВАМ, только сохранять он его не хочет! пришлось сделать printscreen.

    RSIT лог готов.
    Последний раз редактировалось Alexey_75; 21.02.2012 в 23:33.

  7. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    + сделайте лог RSIT за последний месяц.

    Добавлено через 42 минуты

    real spy monitor сами устанавливали ? Что происходит при нажатие на кнопку сохранить отчёт ?
    здесь его тоже нету ?
    Код:
    %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
    Добавлено через 2 минуты

    + что за странная папка состоящая из одних нулей в программ файлс ?

    Добавлено через 6 минут

    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол

    Выполните скрипт в АВЗ -

    Код:
    var j:integer; NumStr:string;
    begin
    for j:=0 to 999 do
     begin
        if j=0 then
            NumStr:='CurrentControlSet' else
            if j<10 then
                NumStr:='ControlSet00'+IntToStr(j) else
                if j<100 then
                    NumStr:='ControlSet0'+IntToStr(j) else
                    NumStr:='ControlSet'+IntToStr(j);
     if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
      begin
      RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
      RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
      AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
      end;
     if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wscsvc') then
      begin
      RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wscsvc');
      RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wscsvc', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
      AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wscsvc исправлено на оригинальное.');
      end;
     end;
    SaveLog(GetAVZDirectory + 'fystemRoot.log');
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:

    fystemRoot.log из папки AVZ прикрепите
    + новый лог virusinfo_syscheck.zip

    Добавлено через 7 минут

    + исправьте наконец дату в компьютере

  8. Это понравилось:


  9. #6
    Junior Member Репутация
    Регистрация
    20.05.2009
    Сообщений
    195
    Вес репутации
    56
    real spy monitor не устанавливал.
    при нажатии на "сохранить отчёт" открывается окно сохранения, но лога в виде блокнота просто нет. После "типа сохранения" по адресу его тоже нет.
    в програм файлс папка с нулями - там линки к НТС-утилитам.
    Ну отстают ровно на год, ничё страшного! Батарейку менял, видать, в БИОСЕ промахнулся.
    ЗЫ: по прежнему запрашивает сертификаты.

    2 regist, щас переделаю.
    готово. в аттаче свежие.
    правда, обещаного рестарта небыло
    Последний раз редактировалось Alexey_75; 22.02.2012 в 00:13.

  10. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Перезагрузите компьютер и ещё раз повторите лог virusinfo_syscheck.zip

    Цитата Сообщение от Alexey_75 Посмотреть сообщение
    Ну отстают ровно на год, ничё страшного! Батарейку менял, видать, в БИОСЕ промахнулся.
    ЗЫ: по прежнему запрашивает сертификаты.
    проблема с сертификатами скорей всего была связана именно с неверной датой.

    что сейчас с проблемой ?

    Добавлено через 10 минут

    Цитата Сообщение от Alexey_75 Посмотреть сообщение
    real spy monitor не устанавливал.
    в установке удаление программ как понимаю его тоже нет?
    Если он установлен у вас против вашего согласия, то для его удаления

    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     QuarantineFileF('C:\Program Files\Real Spy Monitor','*', true,'',0 ,0);
     DeleteFileMask('C:\Program Files\Real Spy Monitor','*',true);
     DeleteDirectory('C:\Program Files\Real Spy Monitor');
     ExecuteWizard('TSW',2,3,true);
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - Выполните в АВЗ:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip)

  11. #8
    Junior Member Репутация
    Регистрация
    20.05.2009
    Сообщений
    195
    Вес репутации
    56
    Да, я както не подумал.
    Проблема с сертификатами была именно из-за времени.
    Визуальных проблем больше нет.

  12. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Сделайте поиск в реестре следующего параметра

    Код:
    C:\WINDOWS\C:\WINDOWS\System32\svchost.exe
    ветки где он будет экспортируйте и прикрепите к своему сообщению.

    в предыдущем посте написал скрипт для удаления Real Spy Monitor если он вам не нужен, но сначала попытайтесь удалить через установку удаление программ.

    Добавлено через 7 минут

    ЗЫ. поиск в реестре удобно делать через AVZ:
    Сервис - Поиск данных в реестре.

  13. Это понравилось:


  14. #10
    Junior Member Репутация
    Регистрация
    20.05.2009
    Сообщений
    195
    Вес репутации
    56
    Поиск выполнил и так и так. Данных, удовлетворяющих условию, не обнаружено. просмотрено ключей over100К.
    Real Spy Monitor без проблем удалился собственным унинсталлером.

  15. #11
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Еще один поиск через AVZ сделайте
    Поиск в реестре wscsvc

    Если найдется, то отметить, и нажать внизу кнопочку: создать reg-файл

    Файл выложите сюда.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  16. Это понравилось:


  17. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    + по скольку на вашем компьютере был установлен шпион, то рекомендую сменить все пароли.

  18. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 11
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\admin\\application data\\gcqkqq.exe - HEUR:Trojan.Win32.Generic ( DrWEB: BackDoor.IRC.NgrBot.42, BitDefender: Trojan.Generic.7258096, AVAST4: Win32:Kryptik-HLV [Trj] )
      2. c:\\documents and settings\\admin\\application data\\1.exe - Trojan.Win32.Buzus.lahe ( DrWEB: BackDoor.IRC.NgrBot.42, BitDefender: Trojan.Generic.7258096, AVAST4: Win32:Kryptik-HLV [Trj] )


  • Уважаемый(ая) Alexey_75, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Помогите долечить!!!!
      От NightAn в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 29.08.2011, 21:41
    2. помогите долечить систему!!!
      От Myhail в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 15.06.2011, 14:38
    3. Помогите долечить
      От Alexey_75 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 09.08.2010, 20:20
    4. Помогите долечиться
      От MaxMiller в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 04.08.2010, 23:17
    5. Помогите долечить
      От gss1234 в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 11.08.2008, 12:44

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00999 seconds with 19 queries