Показано с 1 по 15 из 15.

Не удается найти файл(ы) самовосстановления вируса. (заявка № 115925)

  1. #1
    Junior Member Репутация
    Регистрация
    29.08.2011
    Сообщений
    17
    Вес репутации
    46

    Thumbs up Не удается найти файл(ы) самовосстановления вируса.

    _Здравствуйте.
    Система: MS Windows XP SP3
    Браузер: Opera/9.80 (Windows NT 5.1; U; MRA 5.9 (build 4953); ru) Presto/2.10.229 Version/11.61
    Антивирус: AVG Anti-Virus Free Edition 2012 с обновлением через 2-3 дня.
    _Вирус подхватил при использовании оперы (не через флешку 100% - уже 2 недели ей не пользовался), предположительно на сайте с панорамным видео или с сайта rumedia._ws. Стала заметно виснуть система и браузер. В диспетчере задач появилось много лишних процессов svchost.exe и подозрительные процессы с числовыми именами (прим "0.56564465468.exe","0.5945487454.exe" и т.д.) Пропал доступ к соц. сети "В контакте".
    _Сразу перезагрузился,->безопасный режим. нашел в диске C(системный и единственный) папку с вроде рандомным буквенным именем (прим."mMdhsJSdD"), в гл. меню в автозагрузке файл опять же с вроде рандомным буквенным именем. В папке Windows/Temp нашел те файлы что запускались (с числовыми именами (прим "0.56564465468.exe","0.5945487454.exe" и т.д.)). Все это по удалял.
    В настройках системы (msconfig) в автозагрузке нашел два элемента автозагрузки с именами из квадратиков(как при неправ. кодеровке) у них были адреса:
    SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:load
    SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:run
    Я их отключил, а эти строчки в реестре удалил.
    _Загрузился в обычном режиме. Скачал новые Dr.Web CureIt!, AVPTool и AVZ, HiJackThis.
    В безопасном режиме проверил компьютер при помощи Dr.Web CureIt!, он нашел 3 файла - один троян и какой-то "рекламный" с именем "что-то.generik" вроде. Так же он нашел изменение файла hosts(я потом всю папку etc отчистил и после перезагрузки оригинальные файлы вроде должны были восстановиться, но нет fail!)
    Проверил при помощи AVPTool, не чего не нашел. В обычной загрузке проверил обновленным AVG - ничего.
    _При дальнейшем использовании системы проблем не возникает, но при использовании браузера, после 10-15 минут, все происходит заново. За исключением: в реестр не добавляется load/run, а в Настройках системы (msconfig) в автозапуске не активируются процессы с "кубиковыми" именами. (После повторного "возвращения" вируса, я всегда сразу перезагружаюсь и удаляю в безопасном режиме папку из диска C и .exe файл из Главное меню/прогр./автозапуск). Вывод: Что-то я делаю не правильно.
    _Инструкции выполнил, Логи прилагаются. Заранее благодарен.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Nikita22, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. Это понравилось:


  5. #3
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Nikita22, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  6. Это понравилось:


  7. #4
    Junior Member Репутация
    Регистрация
    29.08.2011
    Сообщений
    17
    Вес репутации
    46
    Оригинальное содержание папки etc восстановил.
    Вопрос остается открытым. Заранее благодарен.
    P.S. Ваш бот жгет

  8. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406

  9. Это понравилось:


  10. #6
    Junior Member Репутация
    Регистрация
    29.08.2011
    Сообщений
    17
    Вес репутации
    46
    Скачал ComboFix.exe с предоставленных ссылок(с первой, потом со второй с заменой), Запуск производил по инструкции. Появляется окно(похожее на командную строку) на 0,2-0,5 секунды, а дальше тишина. В диспетчере задач новых процессов не появляется. Ни C:\ComboFix.txt, ни C:\Qoobox нет.
    P.S. В первое сообщение забыл добавить: при перезагрузки/выключении компьютера выходит сообщение об ошибке в процессе svchost.exe

  11. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406
    - Выполните в АВЗ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Program Files\Common Files\microsoft shared\vfwvusd.non','');
     QuarantineFile('c:\windows\explorer.exe','');
     DeleteFile('C:\Program Files\Common Files\microsoft shared\vfwvusd.non');
     RegKeyParamWrite('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters','ServiceDll','REG_EXPAND_SZ','%SystemRoot%\System32\srvsvc.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится

    После перезагрузки:
    - Выполните в АВЗ:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    Попробуйте сделать лог ComboFix. Если не получится в обычном режиме, запустите его в безопасном...
    Последний раз редактировалось Techno; 02.02.2012 в 13:39.

  12. Это понравилось:


  13. #8
    Junior Member Репутация
    Регистрация
    29.08.2011
    Сообщений
    17
    Вес репутации
    46
    quarantine.zip отправил.
    Сделать лог ComboFix не удалось, в безопасном режиме так же. За исключением того что успел прочитать сообщение в окне которое появляется и через миг пропадает после запуска программы: "Программа не умещается в памяти"
    хм.. у меня доступно около 3Гб физической памяти (планка 4Гб минус система), процессор i5-2300

  14. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406
    Повторите логи АВЗ и hijackthis
    +
    Сделайте лог полного сканирования MBAM.

  15. Это понравилось:


  16. #10
    Junior Member Репутация
    Регистрация
    29.08.2011
    Сообщений
    17
    Вес репутации
    46
    Логи прикреплены. ComboFix.exe так и не запускается и в безопасном режиме.
    Извините, сделал глупость - сразу удалил найденные файлы, не дождавшись Вашего ответа, только потом понял ошибку - facepalm.jpg Надеюсь это было не фатально.
    Вложения Вложения
    Последний раз редактировалось Nikita22; 02.02.2012 в 16:40.

  17. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406
    Цитата Сообщение от Nikita22 Посмотреть сообщение
    сразу удалил найденные файлы
    Запустите MBAM, перейдите на вкладку "Карантин", восстановите Ваши файлы:
    Код:
    HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Помещено в карантин и успешно исправлено.
    HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Помещено в карантин и успешно исправлено.
    HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Помещено в карантин и успешно исправлено.
    C:\Documents and Settings\User\Мои документы\Prog\Install\MathType.6.7.keygen-CORE.exe (Trojan.Agent.CK) -> Помещено в карантин и успешно удалено.
    C:\Documents and Settings\User\Мои документы\Prog\Install\Guitar Pro 5.2 Full\Keygen.exe (RiskWare.Tool.CK) -> Помещено в карантин и успешно удалено.
    C:\Program Files\Total Commander\Wcmikons.dll (Trojan.FakeAlert) -> Помещено в карантин и успешно удалено.

    Восстановите ассоциацию SCR-файлов (скачайте и запустите)

    - Выполните в AVZ скрипт из файла ScanVuln.txt
    - Откройте файл avz_log.txt из под-папки LOG.
    - Пройдитесь по ссылкам из файла avz_log.txt и установите важные обновления.
    - Перезагрузите компьютер.
    - Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

    Что с проблемой?

  18. Это понравилось:


  19. #12
    Junior Member Репутация
    Регистрация
    29.08.2011
    Сообщений
    17
    Вес репутации
    46
    Файлы восстановил. Обновления установил, уязвимости устранены.
    Проблемы больше не наблюдаются. WIN!
    Большое спасибо Вам и всему рабочему коллективу форума
    P.S. Пара остаточных вопросов:
    МВАМ теперь можно деинсталлировать? Восстановление системы включить обратно? В плане вирусной безопасности браузер опера или огнелис предпочтительнее(или с последними обновлениями граница размыта)? Заранее благодарен.

  20. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406
    Цитата Сообщение от Nikita22 Посмотреть сообщение
    МВАМ теперь можно деинсталлировать?
    Да

    Цитата Сообщение от Nikita22 Посмотреть сообщение
    Восстановление системы включить обратно?
    Да

    Цитата Сообщение от Nikita22 Посмотреть сообщение
    В плане вирусной безопасности браузер опера или огнелис предпочтительнее(или с последними обновлениями граница размыта)?
    Да т.е. с обновлениями - размыта

  21. Это понравилось:


  22. #14
    Junior Member Репутация
    Регистрация
    29.08.2011
    Сообщений
    17
    Вес репутации
    46
    Еще раз спасибо, ушел выполнять Рекомендации после лечения

  23. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 6
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Nikita22, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 2
      Последнее сообщение: 01.06.2012, 08:52
    2. Ответов: 10
      Последнее сообщение: 22.02.2009, 10:10
    3. Не удается найти файл csrcs.exe
      От Creux в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 08:46
    4. Ответов: 9
      Последнее сообщение: 22.02.2009, 01:40
    5. Ответов: 1
      Последнее сообщение: 31.01.2009, 17:46

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00818 seconds with 20 queries