Показано с 1 по 8 из 8.

Множественные вирусы (заявка № 57385)

  1. #1
    Junior Member Репутация
    Регистрация
    21.07.2007
    Сообщений
    35
    Вес репутации
    35

    Множественные вирусы

    На компьютере вирусы. Один просил денег через смс и не давал загружаться. В безопасном режиме КурИт этот вирус удалил, АВЗ поправил ключи реестра, так что все стало запускаться... но в автозагрузке есть странные файлы, которые КурИТ не определят как вирус... Утилита Касперсого не запускается (после распаковки далее ничего не происходит). Он-лаин проверка на авп. ру говорит что некоторые файлы из автозагрузки - трояны...
    Автоматически вылечить компьютер не получается. Помогите вылечить этот компьютер.
    Последний раз редактировалось r403; 16.10.2009 в 12:02. Причина: орфография -:)

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    266
    Здравствуйте
    Отключите восстановление системы!
    Отключите компьютер от интернета, а также антивирус и/или файрвол.
    Закройте все программы, выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\ADMIN\gcauthc.msg',''); 
     QuarantineFile('C:\SYSTEM\XPrights.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-823518204-507921405-839522115-1003\Dc1\Quarantine\svcst.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-823518204-507921405-839522115-1003\Dc1\Quarantine\seres.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-823518204-507921405-839522115-1003\Dc1\Quarantine\BN10.tmp','');
     DelBHO('{6D125299-C2A9-4DBC-BEC3-6F7124E39A41}');
     QuarantineFile('C:\DOCUME~1\ADMIN\APPLIC~1\FieryAds\FieryAds.dll','');
     QuarantineFile('C:\windows\system32\restorer32_a.exe','');
     QuarantineFile('C:\windows\system32\regedit.exe','');
     QuarantineFile('C:\windows\system32\qtplugin.exe','');
     QuarantineFile('C:\windows\system32\portmap.exe','');
     QuarantineFile('C:\WINDOWS\system32\portmap.exe','');
     QuarantineFile('C:\Program Files\AntivirusPro_2010\AntivirusPro_2010.exe','');
     QuarantineFile('C:\Documents and Settings\ADMIN\Application Data\svcst.exe','');
     QuarantineFile('C:\Documents and Settings\ADMIN\Application Data\seres.exe','');
     QuarantineFile('c:\documents and settings\admin\restorer32_a.exe','');
     QuarantineFile('c:\windows\system32\restorer32_a.exe','');
     TerminateProcessByName('c:\documents and settings\admin\restorer32_a.exe');
     TerminateProcessByName('c:\windows\system32\restorer32_a.exe');
     DeleteFile('c:\windows\system32\restorer32_a.exe');
     DeleteFile('c:\documents and settings\admin\restorer32_a.exe');
     DeleteFile('C:\Documents and Settings\ADMIN\Application Data\seres.exe');
     DeleteFile('C:\Documents and Settings\ADMIN\Application Data\svcst.exe');
     DeleteFile('C:\Program Files\AntivirusPro_2010\AntivirusPro_2010.exe');
     DeleteFile('C:\windows\system32\regedit.exe');
     DeleteFile('C:\windows\system32\restorer32_a.exe');
     DeleteFile('C:\DOCUME~1\ADMIN\APPLIC~1\FieryAds\FieryAds.dll');
     DeleteFile('C:\RECYCLER\S-1-5-21-823518204-507921405-839522115-1003\Dc1\Quarantine\BN10.tmp');
     DeleteFile('C:\RECYCLER\S-1-5-21-823518204-507921405-839522115-1003\Dc1\Quarantine\BN11.tmp');
     DeleteFile('C:\RECYCLER\S-1-5-21-823518204-507921405-839522115-1003\Dc1\Quarantine\BN6.tmp');
     DeleteFile('C:\RECYCLER\S-1-5-21-823518204-507921405-839522115-1003\Dc1\Quarantine\BN7.tmp');
     DeleteFile('C:\RECYCLER\S-1-5-21-823518204-507921405-839522115-1003\Dc1\Quarantine\BN8.tmp');
     DeleteFile('C:\RECYCLER\S-1-5-21-823518204-507921405-839522115-1003\Dc1\Quarantine\BND.tmp');
     DeleteFile('C:\RECYCLER\S-1-5-21-823518204-507921405-839522115-1003\Dc1\Quarantine\seres.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-823518204-507921405-839522115-1003\Dc1\Quarantine\svcst.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','mserv');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','svchost');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','restorer32_a');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','restorer32_a');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','Antivirus Pro 2010');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','restorer32_a');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!!!
    Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Очистите темп папки.
    Сделайте новые логи по правилам + лог GMER

  4. #3
    Junior Member Репутация
    Регистрация
    21.07.2007
    Сообщений
    35
    Вес репутации
    35

    Сделал

    Гмер говорит о рут ките..
    WARNING Gmer has found system modification, which might have been caused by ROOTKIT activity.
    а в окне логов:
    svchost.ehe (***hidden***) [AUTO] bnadfijt
    Последний раз редактировалось r403; 16.10.2009 в 14:28.

  5. #4
    Junior Member Репутация
    Регистрация
    21.07.2007
    Сообщений
    35
    Вес репутации
    35
    Карантин до Вас дошел или его еще раз повторить (не пойму, где отображается это)

    Добавлено через 41 минуту

    Сейчас я в системе не вижу явных проблем. Но утилита касперского так и не стала запускаться: распаковывается и ничего дальше не происходит, ни в безопасном режиме, ни в нормальном.
    Не подскажите, что говорят логи..
    Последний раз редактировалось r403; 16.10.2009 в 15:20. Причина: Добавлено

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    266
    Карантин пришел.
    Закройте все программы, выполните скрипт в AVZ:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\windows\system32\qtplugin.exe','');
     QuarantineFile('C:\windows\system32\portmap.exe','');
     QuarantineFile('C:\windows\system32\wbmwdmvg.dll','');
     DeleteFile('C:\SYSTEM\XPrights.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!!!
    Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Очистите темп папки.

    Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe (gmer)
    Код:
    gmer.exe -del service bnadfijt
    gmer.exe -del file "C:\windows\system32\wbmwdmvg.dll"
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\bnadfijt"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\bnadfijt"
    gmer.exe -reboot
    И запустите cleanup.bat.
    Компьютер перезагрузится!
    Сделайте новые логи AVZ по правилам + новый лог gmer.
    C:\windows\system32\qtplugin.exe
    C:\windows\system32\portmap.exe
    Проверьте эти файлы на www.virustotal.com, результат сообщите

  7. #6
    Junior Member Репутация
    Регистрация
    21.07.2007
    Сообщений
    35
    Вес репутации
    35
    Что получилось - сделал:
    Логи снова собрал.
    Карантин собрал и загрузил, но что-то мне кажется что в него не попало то, что Вы просили... Почему-то я не увидел этих файлов в папке 'C:\windows\system32'
    Соответственно, я не смог проверить на http://www.virustotal.com/ru/ - т.к. не нашел указанных екзешников, хотя смотрел фаром с включенным показом "всех" файлов.
    про скрипт в gmer.exe... я что-то напутал может быть, но помоему на каждую строчку, кроме ребута. Гмер сообщал об ошибке, "не найдено"....
    Логи Вам выслал.
    Спасибо за помощь

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    В логах ничего подозрительного. Жалобы есть?

  9. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,528
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 50
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\admin\restorer32_a.exe - Trojan-Downloader.Win32.Mutant.fmi ( BitDefender: Trojan.Downloader.Kobcka.M )
      2. c:\recycler\s-1-5-21-823518204-507921405-839522115-1003\dc1\quarantine\bnd.tmp - Trojan-Downloader.Win32.FraudLoad.wsvt ( DrWEB: Trojan.Fakealert.5269, BitDefender: Trojan.FakeAlert.BNS, NOD32: Win32/TrojanDownloader.FakeAlert.AJT trojan, AVAST4: Win32:MalOb-W [Cryp] )
      3. c:\recycler\s-1-5-21-823518204-507921405-839522115-1003\dc1\quarantine\bn10.tmp - Trojan-Downloader.Win32.FraudLoad.wsvt ( DrWEB: Trojan.Fakealert.5269, BitDefender: Trojan.FakeAlert.BNS, NOD32: Win32/TrojanDownloader.FakeAlert.AJT trojan, AVAST4: Win32:MalOb-W [Cryp] )
      4. c:\recycler\s-1-5-21-823518204-507921405-839522115-1003\dc1\quarantine\bn11.tmp - Trojan-Downloader.Win32.FraudLoad.wsvt ( DrWEB: Trojan.Fakealert.5269, BitDefender: Trojan.FakeAlert.BNS, NOD32: Win32/TrojanDownloader.FakeAlert.AJT trojan, AVAST4: Win32:MalOb-W [Cryp] )
      5. c:\recycler\s-1-5-21-823518204-507921405-839522115-1003\dc1\quarantine\bn6.tmp - Trojan-Downloader.Win32.FraudLoad.wsvt ( DrWEB: Trojan.Fakealert.5269, BitDefender: Trojan.FakeAlert.BNS, NOD32: Win32/TrojanDownloader.FakeAlert.AJT trojan, AVAST4: Win32:MalOb-W [Cryp] )
      6. c:\recycler\s-1-5-21-823518204-507921405-839522115-1003\dc1\quarantine\bn7.tmp - Trojan-Downloader.Win32.FraudLoad.wsvt ( DrWEB: Trojan.Fakealert.5269, BitDefender: Trojan.FakeAlert.BNS, NOD32: Win32/TrojanDownloader.FakeAlert.AJT trojan, AVAST4: Win32:MalOb-W [Cryp] )
      7. c:\recycler\s-1-5-21-823518204-507921405-839522115-1003\dc1\quarantine\bn8.tmp - Trojan-Downloader.Win32.FraudLoad.wsvt ( DrWEB: Trojan.Fakealert.5269, BitDefender: Trojan.FakeAlert.BNS, NOD32: Win32/TrojanDownloader.FakeAlert.AJT trojan, AVAST4: Win32:MalOb-W [Cryp] )
      8. c:\recycler\s-1-5-21-823518204-507921405-839522115-1003\dc1\quarantine\seres.exe - Trojan-Downloader.Win32.FraudLoad.wsvt ( DrWEB: Trojan.Fakealert.5269, BitDefender: Trojan.FakeAlert.BNS, NOD32: Win32/TrojanDownloader.FakeAlert.AJT trojan, AVAST4: Win32:MalOb-W [Cryp] )
      9. c:\recycler\s-1-5-21-823518204-507921405-839522115-1003\dc1\quarantine\svcst.exe - Trojan-Downloader.Win32.FraudLoad.wsvt ( DrWEB: Trojan.Fakealert.5269, BitDefender: Trojan.FakeAlert.BNS, NOD32: Win32/TrojanDownloader.FakeAlert.AJT trojan, AVAST4: Win32:MalOb-W [Cryp] )
      10. c:\system\xprights.exe - Trojan.Win32.Agent.dbcq ( BitDefender: Trojan.Generic.2439572 )
      11. c:\windows\system32\restorer32_a.exe - Trojan-Downloader.Win32.Mutant.fmi ( BitDefender: Trojan.Downloader.Kobcka.M )


  • Уважаемый(ая) r403, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Множественные процессы IE
      От Зуля в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 06.09.2010, 01:00
    2. Множественные уязвимости в PHP
      От ALEX(XX) в разделе Уязвимости
      Ответов: 0
      Последнее сообщение: 07.05.2010, 21:36
    3. Множественные вирусы на машине
      От Niven в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 05.11.2009, 21:49
    4. Ответов: 9
      Последнее сообщение: 22.02.2009, 09:44
    5. Множественные уязвимости в X.org X11
      От ALEX(XX) в разделе Уязвимости
      Ответов: 0
      Последнее сообщение: 12.06.2008, 16:33

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00654 seconds with 21 queries