помогите избавится от этой гадости ниче не открывается, ниче не работает третьего лога нет, т.к. проверка выполняется наполовину,потогм комп гаснет просто и все
помогите избавится от этой гадости ниче не открывается, ниче не работает третьего лога нет, т.к. проверка выполняется наполовину,потогм комп гаснет просто и все
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Системное восстановление!!! Это ВАЖНО!
- Выполните скрипт:
Система перезагрузится.Код:Procedure DelAppInit_DLLsByFileName(Name : string); var AppInit_DLLs: string; i, j, c, s: integer; endSearch, found: boolean; begin if Name = '' then exit; AppInit_DLLs := RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'); endSearch := false; while not endSearch do begin found := false; for i := 1 to length(AppInit_DLLs) do begin s := 0; c := i; for j := 1 to length(Name) do if copy(AppInit_DLLs, c, 1) = copy(Name, j, 1) then begin s := s + 1; if s = length(Name) then begin if ((i = 1) and (length(Name) = length(AppInit_DLLs))) or ((i = 1) and (pos(copy(AppInit_DLLs, i + length(Name), 1), ', ') > 0)) or ((i + length(Name) - 1 = length(AppInit_DLLs)) and (pos(copy(AppInit_DLLs, i - 1, 1), ', ') > 0)) or ((pos(copy(AppInit_DLLs, i - 1, 1), ', ') > 0) and (pos(copy(AppInit_DLLs, i + length(Name), 1), ', ') > 0)) then begin found := true; Delete(AppInit_DLLs, i, length(Name)); end; end; c := c + 1; end else break; if found then break; end; if not found then endSearch := true; end; i := 1; while i < length(AppInit_DLLs) do begin if pos(copy(AppInit_DLLs, i, 1), ', ') > 0 then if pos(copy(AppInit_DLLs, i + 1, 1), ', ') > 0 then begin Delete(AppInit_DLLs, i, 1); i := i - 1; end; i := i + 1; end; if copy(AppInit_DLLs, 1, 1) = ',' then Delete(AppInit_DLLs, 1, 1); if copy(AppInit_DLLs, length(AppInit_DLLs), 1) = ',' then Delete(AppInit_DLLs, length (AppInit_DLLs), 1); AppInit_DLLs := Trim(AppInit_DLLs); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', AppInit_DLLs); end; begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;} QuarantineFile('C:\windows\KB900485.log:adefGA',''); DeleteFile('C:\windows\KB900485.log:adefGA'); QuarantineFile('C:\windows\system32\sdra64.exe',''); DeleteFile('C:\windows\system32\sdra64.exe'); DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true); DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true); DelAppInit_DLLsByFileName('C:\windows\KB900485.log:adefGA'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(16); {восстановление ключа запуска explorer} BC_Activate; RebootWindows(true); end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи согласно Правил (Диагностика)
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антивирус и Файрвол
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно Правил (Приложение 3).
- Прикрепите новые логи, а также файл avz_log.txt из папки AVZ (если таковой имеется) к новому сообщению в этой ветке.
скрипт прогнал просилка денег пока не появляется, диспетчер задач так и не работает regedit тоже, попытался сделать логи,вот что получилось virusinfo_syscure.zip virusinfo_syscheck.zip пытаюсь зайти в папку с программой, комп перегружаетсяя hijackthis.log делает лог,но когда начинает сохранять. комп перегружается ща попробую поколдовать, может получится логи вытащить
Добавлено через 50 минут
теперь вообще ниче не получается
логи стащить немогу, при попытки зайти в папку с программой AVZ, комп падает, переименовываем папку, копируем только ехе-шник, через раз запускается, но ни текста, ни скриптов нету. пытаюсь просто скопировать папку Base, копирую. открываю, там пусто, просто перетаскиваешь в нее любой файл,тут же исчезает
могу только запусть скрипт вручную, все З.ы. востановления системы, вообще закладки нету
Последний раз редактировалось eye_stopper; 25.01.2010 в 22:24. Причина: Добавлено
1. Скачайте вот эту утилиту.
2. Загрузитесь и проведите сканирование с помощью LiveCD от DrWeb или Rescue Disc от Kaspersky Lab. Образ диска нужно скачать на здоровом компьютере, для Rescue Disc от Kaspersky Lab необходимо самостоятельно обновить базы, как описано здесь, после чего образ записать на чистый диск, а затем загрузиться с него на заражённой машине.
3. После сканирования находясь в системе, загруженной с LiveCD, выполните поиск и однозначно удалите следующие файлы:
Мы были бы благодарны Вам, если бы все эти файлы Вы запаковали в zip-архив с паролем virus и прислали в карантин согласно Правил (Приложение 3).. Но если по каким-то причинам Вам это сделать сложно - то просто удаляйте.Код:siszyd32.exe (везде на диске С) av_md.exe (везде на диске С) restorer64_a.exe (везде на диске С) userinit.sys (везде на диске С) sdra64.exe (везде на диске С) C:\WINDOWS\TEMP\ (удалить всё в этой папке)
4. После этого запустите скаченный ADSSpy.exe.
4.1. Через кнопку с двумя точками выберите папку, в которой установлен Windows на компьютере.
4.2. Нажмите кнопку Scan the system for alternate data stream.
4.3. На появившейся строчке в списке щёлкните правой кнопкой мыши и нажмите View stream contents.
4.4. Нажмите кнопку Save to disk и сохраните файл с именем похожим на то, что написано внизу окна ADS Spy в строчке Viewing content of .....
4.5. После этого нажмите кнопку Back и для указанных выше двух потоков однозначно нажмите кнопку Remove selected streams, удалив зловредные потоки с машины. Внимание: удалять только те потоки, которые я указал!
4.6. Повторите процедуру начиная с пункта 3.3 для остальных строк в списке (если размер в скобках меньше 1000 байт их можно пропустить).
4.7. Запакуйте сохраненные файлы в zip-архив с паролем virus и пришлите в карантин согласно Правил (Приложение 3).
5. После этого попробуйте загрузить систему и получить полные логи по Правилам.
Последний раз редактировалось gjf; 25.01.2010 в 23:39.
а только такой вариант? просто нет подрукой болванки, а бежать счас некуда
Можно винчестер снять и подключить к другой системе.
Ладно, попробуйте скан в безопасном режиме с помощью AVPTool.
Там же попробуйте после сканирования выполнить мои советы с п.3 по п.5.
получилось сделать логи больной системы. выкладываю P.s.один момент, немогу отключить восстановление системы, т.к. закладка вообще испарилась, там где она должна быть, ее теперь нету % вообще
Последний раз редактировалось eye_stopper; 28.01.2010 в 15:56. Причина: появились свежие логи, с больной системы
up
Добавлено через 1 час 31 минуту
про меня не забудьте плиз? понимаю народу много ну пож-та.......
Последний раз редактировалось eye_stopper; 28.01.2010 в 17:39. Причина: Добавлено
да, только из больной системы, сейчас прикреплю. гляньте логи? выложенные вчера? получилось прогнать AVZ, но ниче не понял что было, т.к. в нем нет шрифтов.
Там бессмысленно что-то смотреть.
Запустите AVPTool, полный скан с LiveCD или в безопасном режиме и пп.3-5 выше.
так я по сути это уже сделал,
п3. - таких файлов нету
п4. - Addspy запустил, потоки убрал, файлы выложил
п5. - новые логи системы выложил еще вчера
все что вы просили. сделал
То, что Вы выслали, уже детектируется как Krap.w, а значит - должно удаляться AVPTool. Скачайте текущую версию и запустите сканирование.
все сделал. LiveCD от Dr.Web и от касперского, система вроде ожила, но нет востановления системы, диспетчера задач и реестра. вот логи, посмотрите что осталось?
- Выполните скрипт:
,Код:Function DelAppInit_DLLsByFileName(Name : string) : boolean; const RegKey = 'Software\Microsoft\Windows NT\CurrentVersion\Windows'; var AppInit_DLLs,Temp_AppInit_DLLs,Temp : string; n,p : integer; begin Result := false; Name := LowerCase(Name); AppInit_DLLs := ''; n := 0; p := 0; Temp_AppInit_DLLs := StringReplace(LowerCase(RegKeyStrParamRead('HKLM', RegKey, 'AppInit_DLLs')), ',', ' ') + ' '; if (Temp_AppInit_DLLs = ' ') or (pos(Name, Temp_AppInit_DLLs) = 0) then exit; Temp := Temp_AppInit_DLLs; while pos(Name, Temp) > 0 do begin Inc(p); Delete(Temp, pos(Name, Temp), Length(Name)); end; Temp := ''; while pos(' ', Temp_AppInit_DLLs) > 0 do begin If Copy(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs) - 1) <> '' then begin If n > 1 then Temp := Temp + ','; If pos(':\', Copy(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs) - 1)) > 0 then Temp := Temp + ','; If pos('.', Copy(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs) - 1)) > 0 then Temp := Temp + Copy(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs) - 1) + ',' else Temp := Temp + Copy(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs)); n := 0; end; Delete(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs)); Inc(n); end; while (pos(',,', Temp) > 0) or (pos(' ,', Temp) > 0) do Temp := StringReplace(StringReplace(Temp, ',,', ','), ' ,', ','); while (pos(Copy(Temp, 1, 1), ' ,') > 0) do Delete(Temp, 1, 1); while (pos(Copy(Temp, Length(Temp), 1), ' ,') > 0) do Delete(Temp, Length(Temp), 1); Temp_AppInit_DLLs := Temp + ','; Temp := ''; while pos(',', Temp_AppInit_DLLs) > 0 do begin If Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs) - 1) <> '' then If pos('\', Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs) - 1)) > 0 then Temp := Temp + Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs)) else Temp := Temp + StringReplace(Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs)), ' ', ','); Delete(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs)); end; Temp_AppInit_DLLs := Temp + ','; while pos(',', Temp_AppInit_DLLs) > 0 do begin If Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs) - 1) <> '' then If (Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs) - 1) = Name) or ((p <= 1) and (ExtractFileName(Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs) - 1)) = Name)) then AppInit_DLLs := AppInit_DLLs else AppInit_DLLs := AppInit_DLLs + Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs)); Delete(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs)); end; If Copy(AppInit_DLLs, Length(AppInit_DLLs), 1) = ',' then Delete(AppInit_DLLs, Length(AppInit_DLLs), 1); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', RegKey, 'AppInit_DLLs', AppInit_DLLs); If RegKeyStrParamRead('HKLM', RegKey, 'AppInit_DLLs') = AppInit_DLLs then Result := true; end; begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;} QuarantineFile('C:\NISSAN\WPWShell.exe',''); QuarantineFile('C:\NISSAN\WH4Shell.exe',''); DeleteFile('C:\NISSAN\WH4Shell.exe'); DeleteFile('C:\NISSAN\WPWShell.exe'); QuarantineFile('C:\windows\Fonts\wst_fren.fon:adefGA',''); DeleteFile('C:\windows\Fonts\wst_fren.fon:adefGA'); DelAppInit_DLLsByFileName('C:\windows\Fonts\wst_fren.fon:adefGA'); DeleteFileMask('C:\NISSAN\', '*.*', true); DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true); DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true); BC_ImportAll; ExecuteSysClean; SetAVZPMStatus(false); ExecuteRepair(6); {удаление всех политик ограничений текущего пользователя} ExecuteRepair(11); {разблокировка диспетчера задач} ExecuteRepair(17); {разблокировка редактора реестра} BC_Activate; RebootWindows(true); end.
Система перезагрузится.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Обновите базы AVZ!!! Если заражённый компьютер по каким-то причинам не может связаться с Интернет, базы AVZ скачайте отсюда и распакуйте в папку ..\avz\base на заражённом компьютере, после чего перезапустите AVZ.
- Сделайте повторные логи согласно только пункта 2 Правил (Диагностика)
virusinfo_syscheck.zip
- Включите Антивирус и Файрвол
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно Правил (Приложение 3).
- Прикрепите новые логи к новому сообщению в этой ветке.
готово
вроде все работает, даже как-то пошустрее чем было спасибо огромное
Миссия выполнена
Вы можете отблагодарить хелперов, которые Вам помогли, нажав им на кнопку "Спасибо", а также и весь проект VirusInfo вот тут.
Рекомендуется изменить все используемые пароли, поскольку теоретически зловред мог их отправить злоумышленникам. Также, рекомендуется провести полную проверку системы антивирусом.
Установите все последние обновления системы Windows и используемых программ. И вообще, постарайтесь выполнить все советы, указанные здесь - это максимально отдалит время нашей следующей с Вами встречи
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 14
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\help\msmq.chm:adefga - Packed.Win32.Krap.w ( DrWEB: Trojan.Packed.19647, BitDefender: Gen:Heur.Krypt.hy8@aq9xJ7ic, AVAST4: Win32:Bredolab-BR [Trj] )
- c:\windows\help\msmq.chm:adefga:$data - Packed.Win32.Krap.w ( DrWEB: Trojan.Packed.19647, BitDefender: Gen:Heur.Krypt.hy8@aq9xJ7ic, AVAST4: Win32:Bredolab-BR [Trj] )
- c:\windows\system32\rserver30\r3god.dll - Backdoor.Win32.RAdmin.ab ( DrWEB: BackDoor.Radmin.40, BitDefender: Backdoor.Generic.71075, AVAST4: Win32:Radmin-I [Trj] )
- \msmq.chm.adefga.bin - Packed.Win32.Krap.w ( DrWEB: Trojan.Packed.19647, BitDefender: Gen:Heur.Krypt.hy8@aq9xJ7ic, AVAST4: Win32:Bredolab-BR [Trj] )
- \wst_fren.fon.adefga.bin - Packed.Win32.Krap.w ( DrWEB: Trojan.Packed.19647, BitDefender: Gen:Heur.Krypt.hy8@aq9xJ7ic, AVAST4: Win32:Bredolab-BR [Trj] )
Уважаемый(ая) eye_stopper, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.