-
Junior Member
- Вес репутации
- 53
Букет вирусов
Здравствуйте,
Помогите, пожалуйста, избавиться от странностей на компьютере.
Они начали проявлять себя после того как домой была принесена подозрительная флешка. Стоял антивирус avast. Он определил, что на флешке есть подозрительный файл. Название начиналось со слова recycler, затем длинное сочетание символов. В тот момент внимание на это не обратили, поскольку доверяли владельцу флешки. После этого на всех флешках и дисках, которые мы формотировали на компьютере появлялся подобный файл (recycler), а также autorun.inf. Avast перестал обновляться - пришлось его удалить. Пропобовали установить другие антивирусы, но ничего не получилось. Либо не можем открыть сайты антивирусных программ либо не запускается файл установки антивируса.
Удалось просканировать компьютер с помощью диска mini cd drweb. Он обнаружил три вируса: Trojan.killFiles.990, Win32.HLLW.Shadow.bases и DLOADER.Trojan. В каких файлах они были внимание не обратили. А файлы удалили с помощю того же mini cd drweb. Однако после этого изменений не произошло. Удалось установить антивирус Avira, но у него не обновлялась база и не запускалась система защиты. На флешки также продолжает копироваться recycler. Когда начались все эти беды с вирусами, также перестали запускаться некоторые из уже ранее установленных программ - никакой реакции на нажатие exe файла.
Следуя вашим инструкциям, в безопасном режиме drweb cureit ничего не нашел. А AVP tool не смогли скачать - ссылка не работала.
AVZ не запустился. Также не заработал и полиморфный AVZ.
Удалось установить и запустить HiJackThis - лог приложен.
Спасибо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
А что делать, если данный сайт не работает? т.е. не открываются ссылки, ничего не скачивается?
Brothers13
-
Последний раз редактировалось thyrex; 04.04.2010 в 22:43.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
thyrex,
программа что-то отсканировала, удалила 1 файлик и 1 запись в реестре, как сделать лог или записать все - не знали, поэтому не записали.. после этого вроде все заработало! и сайты, и программа avz - даже антивирус avira удалось скачать и установить...
теперь нужно логи из avz сделать?
-
Junior Member
- Вес репутации
- 53
-
Все пароли смените как можно быстрее
Пофиксите в Hijack
Код:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.apeha.ru
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O20 - AppInit_DLLs: winmm.dll
Сделайте лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
thyrex,
а пароли нужно менять все в Интернете или в windows и почте (thebat!) - тоже?
Новые логи приложены.
А еще после чистки компьютера от вирусов avz, утилитой kateskiller, обнаружилась новая проблема при загрузке флешок, дисков и подключении usb (сканер и т.п.) - скрин в приложении (1.jpg)
-
Сохраните текст ниже как cleanup.bat в ту же папку, где находится wepqdzbw.exe (gmer)
Код:
wepqdzbw.exe -del service ssngwbx
wepqdzbw.exe -del file "C:\WINDOWS\system32\dmpczd.dll"
wepqdzbw.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ssngwbx"
wepqdzbw.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ssngwbx"
wepqdzbw.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\ssngwbx"
wepqdzbw.exe -reboot
И запустите cleanup.bat. Компьютер перезагрузится. Сделать новый лог gmer
-
-
Junior Member
- Вес репутации
- 53
текстовый файл с таким названием не стал запускаться и что-то делать, поэтому сделали так как указано в инструкции в форуме для GMER.
Вот новый лог gmer
-
Сообщение от
Brothers13
текстовый файл с таким названием не стал запускаться и что-то делать
При сохранении надо выбирать "Тип файла--Все файлы"
В логе чисто, зачистим кое-что, выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('3041d03e-fd4b-44e0-b742-2d9b88305f98');
DeleteFilemask('C:\Program Files\AskBarDis','*.*', true);
DeleteDirectory('C:\Program Files\AskBarDis');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Что с проблемой?
-
-
Junior Member
- Вес репутации
- 53
скрипт выполнили в avz. изменений с возникновением ошибки не произошло - возникает при включении флешки (диска) и при отключении.
-
Посмотрите в Диспетчере устройств, если появилось новое оборудование--удалите его, затем обновите конфигурацию оборудования.
-
-
И вот это попробуйте
Выполните скрипт в AVZ
Код:
begin
ExecuteREpair(19);
RebootWindows(true);
end.
Компьютер перезагрузится.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
К сожалению, после указанных действий ничего не изменилось...
-
-
-
Junior Member
- Вес репутации
- 53
-
Удалите в MBAM
Код:
Заражено ключей реестра:
HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook (Adware.Ecobar) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{4509d3cc-b642-4745-b030-645b79522c6d} (Adware.Ecobar) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{4897bba6-48d9-468c-8efa-846275d7701b} (Adware.Ecobar) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{ca3eb689-8f09-4026-aa10-b9534c691ce0} (Adware.Ecobar) -> No action taken.
HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook.1 (Adware.Ecobar) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{be83c3b6-0f77-436c-88b1-a56124a743cb} (Password.Stealer) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{be83c3b6-0f77-436c-88b1-a56124a743cb} (Password.Stealer) -> No action taken.
Заражено параметров реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.
Сделайте лог MBAM
Выполните следующее:
1. кнопка Пуск - Выполнить ввести cmd нажать Enter;
2. ввести chkdsk c: /r /f нажать Enter. Выскочит сообщение вида:"Невозможно выполнить команду chkdsk ......"
Нажмите клавишу Y;
3. введите exit затем нажать Enter;
4. перезагрузите ПК, во время перезагрузки будет выполнена проверка и исправление ошибок.
-
-
Junior Member
- Вес репутации
- 53
сделали все, как написано. Лог приложен.
После этого правда ничего не изменилось, однако проблему похоже нашли - после удаления утилитки panda usb vaccine - ошибка исчезла :0)
подскажите еще пожалуйста какие пароли нужно менять? только в интернете? или в thebat тоже?
больше по логам никаких проблем не видно?
-
Сообщение от
Brothers13
подскажите еще пожалуйста какие пароли нужно менять? только в интернете? или в thebat тоже?
Для надежности смените все пароли.
Еще вызывает сомнение данный файл C:\Program Files\WebMoney Advisor\tbhelper.dll
Вот что написано по этому плагинуЛучше удалить.
-