Прошу помощи с окончательным излечением системы

**Mr. Borland** · 01.07.2009, 01:05

Здравствуйте.

Недавно принесли компьютер со множеством вирусов различных мастей. Большую часть отловил и вычистил ESET NOD32 Smart Security 4. Далее система была проверена Dr.Web LifeCD и в довершении Kaspersky AntiVirus 7.

Руками из командной строки были внесены изменения в реестр, так как доступ к Диспетчеру задач и Редактору реестра был заблокирован.

Однако, подозрения о том, что еще не все в порядке, остались. Поэтому прошу помощи в окончательном излечении больного. (Логи прилагаются.)

Заранее благодарю за помощь.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**gjf** · 01.07.2009, 01:25

- Вставьте все заражённые флешки, но не открывайте их в Проводнике, пока Вам не будет это разрешено.
- Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Системное восстановление.
- Пофиксите в HiJackThis:

Код:

 R3 - URLSearchHook: (no name) - {1CBF31FC-3C23-4BA6-AF16-2CEC501BD837} - (no file)
 O2 - BHO: ToolHelper - {BBBE1C1A-89F7-4AF6-ABD1-F8FBCFA47408} - (no file)
 O3 - Toolbar: (no name) - {1CBF31FC-3C23-4BA6-AF16-2CEC501BD837} - (no file)
 O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

- Выполните скрипт AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\autorun.exe','');
 QuarantineFile('C:\WINDOWS\system32\blastclnnn.exe','');
 QuarantineFile('C:\WINDOWS\system32\winsys2.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-9482031584-6695354360-879942407-9945\nissan.exe','');
 DeleteFile('C:\RECYCLER\S-1-5-21-9482031584-6695354360-879942407-9945\nissan.exe');
 DeleteFile('C:\WINDOWS\system32\winsys2.exe');
 DeleteFile('C:\WINDOWS\system32\blastclnnn.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\autorun.exe');
 DelCLSID('08B0E5C0-4FCB-11CF-AAX5-00401C608512');
BC_ImportAll;
ExecuteSysClean;
 ExecuteRepair(6);
 ExecuteRepair(8);
 ExecuteRepair(11);
 BC_Activate;
 RebootWindows(true);
end.

Система перезагрузится.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи согласно Правил (Диагностика)
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антивирус и Файрволл
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно Правил (Приложение 3).
- Прикрепите новые логи к новому сообщению в этой ветке.

**Mr. Borland** · 01.07.2009, 09:16

Высылаю логи + карантин.

**gjf** · 01.07.2009, 11:20

1. Повторяю: Отключите системное восстановление!!! Иначе всё, что мы делаем - насмарку!

2. В меню Пуск выберите "Выполнить..." и введите "cmd". В открывшемся окне введите следующую команду и нажмите Enter;

Код:

at /delete

3. После этого все логи повторить.

**Mr. Borland** · 01.07.2009, 23:58

Повторно высылаю логи.

**Wild Spirit** · 02.07.2009, 01:07

Не вижу ничего подозрительного в логе.
Рекомендую:
- установить IE 8;
- обновить Acrobat Reader или удалить старый;
- обновить Java.
У Вас установлено 2 антивируса - Dr.Web и NOD32. Оставьте один, иначе 2 антивируса будут конфликтовать между собой, что приведет к нестабильной работе системы.

**Mr. Borland** · 02.07.2009, 02:36

IE обновлен до 8-ой версии. Acrobat Reader удален. Java обновлена.

Dr.Web-а найти не удалось. В Диспетчере задач процесса Dr.Web нет. В реестре записи об антивирусе тоже отсутствуют. В логах AVZ и HiJackThis также его не нашел. Право, не знаю где Вы его увидели.

**gjf** · 02.07.2009, 03:34

Есть такие записи. Вы не по DrWeb ищите, а по Spider - это его резидент. Сейчас мы это исправим. Выполните скрипт AVZ:

Код:

begin
 SetAVZGuardStatus(true);
 StopService('SPIDER');
 StopService('drwebnet');
 DeleteFile('C:\WINDOWS\system32\drivers\drwebnet.sys');
 DeleteFile('C:\Program Files\DrWeb\spider.sys');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('SPIDER');
 BC_DeleteSvc('drwebnet');
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки DrWeb будет удалён уже полностью. И впредь антивирусы удаляйте корректно - или будет оставаться много хвостов и глюков.

На этом вроде как всё.

**Mr. Borland** · 03.07.2009, 00:05

Dr.Web удалил. Постараюсь быть более внимательным.

gjf, Wild Spirit, спасибо за помощь!

**CyberHelper** · 04.07.2009, 00:05

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 9
В ходе лечения вредоносные программы в карантинах не обнаружены

Прошу помощи с окончательным излечением системы (заявка № 49029)

Опции темы

Прошу помощи с окончательным излечением системы

Итог лечения

Похожие темы

Странная окно при загрузке XP, прошу помощи сообщества.

Прошу помочь излечить wlnotify.dll и stobject.dll

проблема с окончательным лечением компьютера

огромный исходящий траффик, прошу помощи в излечении от кучи вирусов

Прошу помощи в очистке системы

Ваши права в разделе