Показано с 1 по 8 из 8.

Сильно зараженный комп, помогите! (заявка № 48126)

  1. #1
    Junior Member Репутация
    Регистрация
    10.04.2009
    Сообщений
    478
    Вес репутации
    32

    Exclamation Сильно зараженный комп, помогите!

    Компьютер, видимо, заражен серьезно.
    1) Невозможно загрузиться в безопасном режиме - выскакивает на мгновение синий экран (прочитать не удается) и комп уходит на перезагрузку. В нормальном режиме грузится благополучно
    2) MSIE при запуске показывает блокирующее окошко с порнухой
    3) Зайти на антивирусные сайты, включая virusinfo, не удается
    4) после перезагрузки в файле hosts появляются записи для некоторых антивирусных сайтов, направляющие их на 127.0.0.1 (но реально блокировано сайтов больше, да и списочек какой-то кривой)

    По причине п.1 выполнить сканирование компьютера в безопасном режиме не удалось. Сканирование в обычном режиме (RemoveIt) не дало ничего, кроме вылавливания нескольких десятков файлов от зловреда onestep.
    Последний раз редактировалось vgo; 07.06.2010 в 11:46.

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,699
    Вес репутации
    1810
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\xonansu.dll','');
     QuarantineFile('C:\WINDOWS\system32\twex.exe','');
     TerminateProcessByName('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RarSFX0\setup.exe');
     QuarantineFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RarSFX0\setup.exe','');
     DeleteFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RarSFX0\setup.exe');
     TerminateProcessByName('\Device\HarddiskVolume1\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RarSFX0\setup.exe');
     QuarantineFile('\Device\HarddiskVolume1\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RarSFX0\setup.exe','');
     DeleteFile('\Device\HarddiskVolume1\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RarSFX0\setup.exe');
     DeleteFile('C:\WINDOWS\system32\twex.exe');
    DeleteFile('C:\WINDOWS\system32\xonansu.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Прислать карантин согласно приложения 3 правил .
    Загружать по красной ссылке вверху этой темы "Прислать запрошенный карантин"

    2.Повторить логи
    The worst foe lies within the self...

  4. #3
    Junior Member Репутация
    Регистрация
    10.04.2009
    Сообщений
    478
    Вес репутации
    32
    Пока присылать нечего ((
    После выполнения процедуры комп не пошел на перезагрузку.
    После перезагрузки через ресет система перестала грузиться вообще - стала вести себя и при нормальной загрузке как при безопасной: срывается на перезагрузку.
    Потом вроде стала опять загружаться, но опять только в нормальной моде.
    Сейчас выясняю состояние, потом попробую получить логи.
    Творятся чудеса: образовались файлы, которые не удаляются. ВОобще. Даже из-под Windows PE. Вот это уже совсем непонятно ((

  5. #4
    Junior Member Репутация
    Регистрация
    10.04.2009
    Сообщений
    478
    Вес репутации
    32
    Итак, состояние системы на данный момент выглядит удовлетворительным (в плане зловредов). По пунктам:
    0) после некоторых манипуляций система снова стала грузиться в нормальном режиме. Что именно помогло - я так и не понял, но помогло.
    00) причина неудаляемости пары файлов найдена, файлы удалены, к вирусам это отношения не имеет.
    1) незагружаемость в безопасной моде сохранилась, но теперь я склонен считать, что это не результат присутствия активного вируса. Может быть, это побитая система. Может быть, вирусами.
    2-4) симптомы прошли. Правда, в процессе упомянутых манипуляций заменилась версия MSIE, но, скажем, недоступность антивирусных сайтов была одинаковой для всех броузеров.

    Результаты сканирования прилагаются.
    На мой взгляд, система чистенькая. Другие сканеры тоже не показывают ничего.
    В процессе диагностики (между отправкой мной первого сообщения и применением рецепта) свеженький сканер от DrWeb показал наличие трех зловредов:
    - Trojan.PWS.Panda.106
    - Win32.HLLW.Shadow.based
    - Trojan.Click.26141

    Хотя скрипт лечения выполнился без ошибок, в карантине оказалось только два файла. Карантин сейчас загружу.
    Последний раз редактировалось vgo; 07.06.2010 в 11:46.

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,699
    Вес репутации
    1810
    Код:
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16762)
    Ну с вторым СП ловить троев можно часто.
    Очень рекомендуется обновление до 3-го
    Да и ИЕ уже есть 8-й

    Выполните этот скрипт:
    Код:
    begin
     ExecuteRepair(10);
     RebootWindows(false);
    end.
    после перезагрузки опробуйте возможность загружаться в безопасном режиме
    The worst foe lies within the self...

  7. #6
    Junior Member Репутация
    Регистрация
    10.04.2009
    Сообщений
    478
    Вес репутации
    32
    Спасибо, скрипт помог, сервиспак накатили. Ну и фиксы-то противо-Kudoшные мы уже поставили без напоминания ))
    Что до MSIE, похоже, юзер уже проникся идеей использовать другой броузер.
    Как я понял, Вы в логах тоже ничего криминального не нашли.

    PS. Поставленный антивирус нашел еще одну неблагонадежную программу - RegistryPowerCleaner, c:/program files/winferno/registrypowercleaner/regpowerclean.exe. Я уж не знаю, это правильно или перебдел антивирус.
    Последний раз редактировалось vgo; 18.06.2009 в 10:17. Причина: дополнительная инфа

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от vgo Посмотреть сообщение
    Поставленный антивирус нашел еще одну неблагонадежную программу - RegistryPowerCleaner.
    Какой антивирус?

  9. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,552
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\twex.exe - Trojan-Spy.Win32.Zbot.rmk ( DrWEB: Trojan.PWS.Panda.106, BitDefender: Trojan.Generic.1746618 )
      2. c:\windows\system32\xonansu.dll - Trojan-Downloader.Win32.Kido.a ( DrWEB: Win32.HLLW.Shadow.based, BitDefender: Win32.Worm.Downadup.Gen )

    Рекомендации:
    1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !


  • Уважаемый(ая) vgo, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Помогите! Комп стал сильно тормозить
      От mrHill в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 25.06.2012, 12:34
    2. Ответов: 9
      Последнее сообщение: 26.08.2010, 10:58
    3. Зараженный комп
      От treumer в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 14.06.2010, 18:38
    4. Сильно зараженный компьютер.
      От Leon7id в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 27.01.2010, 18:22
    5. Зараженный комп
      От Whale в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 23.01.2010, 21:41

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00751 seconds with 21 queries