-
Junior Member
- Вес репутации
- 56
Помогите пожалуйста справиться с вирусом
Добрый день.
Началось все с того что начало появляться безобидное окошко с ругательствами на digeste.dll . Сначала я вручную удалила этот файл но он появился снова, потом я запустилась с life-cd и удалила его. После этого начали творится чудеса на моем компьютере, запускаться много одинаковых процессов, Интернет эксплорер перестал загружать странички. Были перехвачены пароли на фтп доступ и изменены индекс файлы.
Я начала бороться с вирусами. Первое что я сделала это запланировала проверку компьютера (до загрузки виндовс) avast-ом. Нашло несколько вирусов и удалило их. Но проблема не решилась. Проверила комп launch.exe от dr.web , тоже нашло несколько вирусов и удалило их. Проблема осталась. Пробовала вручную почистить автозапуск. Запускала на проверку Ad-Aware и launch.exe в безопасном режиме и при загрузке с лайф-сд. Пробовала восстановить систему до точки восстановления – пишет что система не была восстановлена. В итоге за пару дней мною вручную были удалены файлы:
digeste.dll
crypts.dll
wpv301237690144.cpx
aaaamong.exe
mmmdlwss.dll
и еще много файлов было удалено антивирусными программами. Эти файлы постоянно перезаписываються.
Тут силы мои иссякли и я все таки решила скачать AVZ. Проверила ним – он ничего не нашел…. Все по 0.
Мне сегодня нужно определиться реально ли вылечить комп или переустанавливать виндовс, потому как сроки по работе поджимают, а я уже 3 дня и 2 ночи борюсь с невидимым вирусом.
Если можете – помогите пожалуйста.
Прилагаю логи:
virusinfo_syscheck.zip
virusinfo_syscure.zip
hijackthis.log
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Восстановление системы: включено --- отключить!!!
Профиксить:
Код:
O20 - Winlogon Notify: crypt - crypts.dll (file missing)
Выполнить:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetAVZPMStatus(true);
QuarantineFile('digeste.dll','');
QuarantineFile('C:\WINDOWS\services.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\ethhyskz.sys','');
SetServiceStart('ethhyskz', 4);
QuarantineFile('C:\WINDOWS\system32\aaaamong.exe','');
DeleteService('wuauservRDSessMgr');
QuarantineFile('C:\Documents and Settings\Света\wpv301237690144.cpx run','');
DeleteService('AlerterALG');
DeleteService('ksi32sk');
QuarantineFile('C:\WINDOWS\system32\drivers\ksi32sk.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys');
DeleteFile('C:\Documents and Settings\Света\wpv301237690144.cpx run');
DeleteFile('C:\WINDOWS\system32\aaaamong.exe');
DeleteFile('C:\WINDOWS\system32\drivers\ethhyskz.sys');
DeleteFile('C:\WINDOWS\services.exe');
DeleteFile('digeste.dll');
ExecuteRepair(9);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Сделать заново логи.
Загрузить карантин по Правилам через http://virusinfo.info/upload_virus.php?tid=42524
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 56
Сделала все как вы написали.
После перезагрузки ад-аваре выдал сообщение:
bloc.JPG
Я заблокировала этот процесс, и начала делать логи. Больше это окошко не появлялось даже после перезагрузки.
Загрузила карантин, подтвердите правильно ли я его загрузила? Или стоит перезагрузить еще раз?
Файл сохранён как 090325_195042_Quarantine_49ca60e2940d0.zip
Размер файла 149202
MD5 13bf2186d4a10fb669297b08aeb1430b
Ниже вылаживаю новые логи:
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
-
Адваре тоже надо было отключить, чтобы не мешалось.
Профиксить:
Код:
O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe
Повторить лог Хиджака.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 56
при выполнении скрипта он был отключен... сейчас профиксю...
-
Junior Member
- Вес репутации
- 56
отключила адваре, профиксила, новый лог прилагаю
hijackthis.log
жду вашего ответа
-
-
-
Junior Member
- Вес репутации
- 56
адваре после перезагрузки опять просит заблокировать сервис.ехе
-
Сделайте свежие логи AVZ...
-
-
Junior Member
- Вес репутации
- 56
я разршила адваре изменить реестр и этот процес перестал появляться в списке в хиджаке. и адваре перестал матюкаться. спасибо громадное за помощь!
-
Нет уж, сделайте хотя бы пункт 2 диагностики...
-
-
Junior Member
- Вес репутации
- 56
вылаживаю логи
virusinfo_syscheck.zip
hijackthis.log
если нужно будет то вылажу и первый пункт
-
В логах чисто, установите SP3+all updates...
-
-
Junior Member
- Вес репутации
- 56
спасибо, учту ваше замечание
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 14
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\drivers\ethhyskz.sys - Backdoor.Win32.IEbooot.aul ( DrWEB: Trojan.Spambot.4399 )
- c:\windows\system32\drivers\ksi32sk.sys - Rootkit.Win32.Agent.ikz ( BitDefender: Rootkit.Kobcka.B )
-