Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 34.

Многомесячный ВИРУС!!! (блокировка СейфМод, Диспт.задач и др) (заявка № 72248)

  1. #1
    Junior Member Репутация
    Регистрация
    25.02.2010
    Сообщений
    18
    Вес репутации
    25

    Thumbs up Многомесячный ВИРУС!!! (блокировка СейфМод, Диспт.задач и др)

    Здравствуйте!
    Вот уже не один месяц мучают меня (а вернее мой комп) различные зловредители! Стоит уже больше года NOD32, но назрело решение координально менять антивирус! Периодически Нода находит и вроде как удаляет различные трояны, черви и прочую нечисть, но также с постоянством они плодятся и проявляются вновь и вновь... Элементраный md.exe регулярно в корневых на всех дисках появляется, и только недавно Нода решила на него заругаться... Возможно всё началось ещё осенью, когда на раб.столе "всплыл" СМС-банер, а возможно и раньше... не знаю... Но сейчас уже порядком всё надоело, поскольку уже всё перепробывал самостоятельно и нет результатов - решил обратиться к вам.

    Во первых:
    загрузка в Сейф Мод уже давно для этого компа стала НЕреальностью... Поэтому по инструкции выполнить лечение в безоп. режиме не могу!
    Во вторых:
    недавно (до кучи) кнопка диспетчера задач из менюшки, которую вызываю по трём весёлым клавишам - стала НЕактивной. Что то и ещё есть, но это уже мелочи. Диспетчер задач - моя основная головная боль, поскольку теперьь что происходит в системе, кто или что её грузит - я не могу узнать и не могу ничего отключить...
    Прошу помощи!!!

    С уважением.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,557
    Вес репутации
    942

    1. Пожалуйста, выполните скрипт AVZ:
    Код:
    begin
     SearchRootkit(true, true);
     QuarantineFile('\Program Files\DAEMON Tools Pro\Engine.dll', 'CHQ=N');
     QuarantineFile('Mspisrrv.sys', 'CHQ=N');
     QuarantineFile('D:\Setup\Orbitdownloader\GrabPro.dll', 'CHQ=N');
     QuarantineFile('D:\Setup\Orbitdownloader\orbitcth.dll', 'CHQ=N');
     QuarantineFile('C:\WINDOWS\System32\netprotocol.dll', 'CHQ=N');
     QuarantineFile('C:\WINDOWS\system32\Drivers\FABulk.sys', 'CHQ=N');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Parclass.sys', 'CHQ=N');
     QuarantineFile('C:\DOCUME~1\F240~1\LOCALS~1\Temp\Rar$EX00.438\ЏгўҐа Љ*«Є\winio.sys', 'CHQ=N');
     QuarantineFile('C:\Documents and Settings\Я\Local Settings\Application Data\RadioSure\RadioSure.exe', 'CHQ=N');
     QuarantineFile('C:\Program Files\Internet Explorer\romdrivers.dll', 'CHQ=N');
     QuarantineFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL', 'CHQ=N');
     QuarantineFile('C:\Program Files\Auslogics\AusLogics BoostSpeed\Integrator.exe', 'CHQ=G');
     BC_QrFile('D:\Setup\Orbitdownloader\GrabPro.dll');
     BC_QrFile('D:\Setup\Orbitdownloader\orbitcth.dll');
     BC_QrFile('C:\WINDOWS\System32\netprotocol.dll');
     BC_QrFile('C:\WINDOWS\system32\Drivers\FABulk.sys');
     BC_QrFile('C:\DOCUME~1\F240~1\LOCALS~1\Temp\Rar$EX00.438\ЏгўҐа Љ*«Є\winio.sys');
     BC_QrFile('C:\Program Files\Internet Explorer\romdrivers.dll');
     BC_QrFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
     BC_Activate;
     RebootWindows(true);
    end.
    В ходе выполнения скрипта компьютер перезагрузится.
    2. Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
    3. В протоколе обнаружено много неопознанных файлов, рекомендуется выполнить http://virusinfo.info/index.php?page=uploadclean

  4. #3
    Junior Member Репутация
    Регистрация
    25.02.2010
    Сообщений
    18
    Вес репутации
    25

    ... отчёт

    1-Скрипт выполнен.

    2-Выслан карантин: "Virus.zip" Результат загрузки
    Файл сохранён как 100225_173036_virus_4b86898cf2ab4.zip
    Размер файла 558294
    MD5 f764622fae75a9dd2a48e4d5b1f7c0d8

    3-Выслан "Автоматический сбор файлов для AVZ":
    Результат загрузки
    Файл сохранён как 100225_174654_virusinfo_files_DVD_4b868d5e03870.zi p
    Размер файла 15236846
    MD5 17277ad8983ceaf3338390fc3b303a19
    Файл закачан, спасибо!

    Выполнен и прикреплён новый лог "hijackthis.log"
    Вложения Вложения

  5. #4
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,648
    Вес репутации
    2917
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DelBHO('{D4027C7F-154A-4066-A1AD-4243D8127440}');
     DelBHO('{00000000-6E41-4FD3-8538-502F5495E5FC}');
     DeleteFile('C:\WINDOWS\System32\netprotocol.dll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Netprotocol\Parameters','ServiceDll');
     DeleteFile('C:\Program Files\Ask.com\GenericAskToolbar.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteREpair(10);
    ExecuteREpair(11);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Сделайте новые логи
    Последний раз редактировалось thyrex; 25.02.2010 в 22:42.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Пофиксте в HijackThis следующие строки:
    F2 - REG:system.ini: F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
    O2 - BHO: MyCentria Internet Mate v1.95 - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL (file missing)
    Сделайте новый лог HijackThis.

    Выполните в AVZ скрипт ScanVuln.txt и приложите сюда файл avz_log.txt из под-папки log.
    Пройдитесь по ссылкам из файла avz_log.txt и установите обновления (на MS Office должен быть установлен Service Pack 3).

  7. #6
    Junior Member Репутация
    Регистрация
    25.02.2010
    Сообщений
    18
    Вес репутации
    25
    thyrex, скрипт не проходит, выдаётся сообщение: "Ошибка: ';' expected в позиции 7:13"

    AndreyKa, пофикстил в HijackThis предложенные строки: F2.... и O2.....
    Приложение: логи HijackThis и AVZ
    (в AVZ был запущен скрипт ScanVuln.txt)
    ... также произвёл попытку обновления MS Office Servic Pack' ом 3
    Вложения Вложения

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    ПРоблема решена?

  9. #8
    Junior Member Репутация
    Регистрация
    25.02.2010
    Сообщений
    18
    Вес репутации
    25
    AndreyKa, Да как же "решена"???
    Всё только усугубляется по моему...
    По прежнему диспетчер задач не активен, а значит что происходит - один Бог ведает...
    Сэйф Моде не существует (ну да виг с ним уже)...
    Главное - беглый запуск AVZ доказывает, что "зло живее всех живых":
    Функция NtCreateKey (29) перехвачена (806222D2->BA6B50E0), перехватчик sprr.sys
    .................
    Функция ... и т.д ... т.д... т.д...
    .............(B1) перехвачена (8062038C->BA6CE08A), перехватчик sprr.sys
    Проверено функций: 284, перехвачено: 7, восстановлено: 0

    А беглый взгляд на папку "Temp" из "C:\Documents and Settings\.....темp" падает на некий qktvkj.exe файлик... Переименование его через F2 выбрасывает в другие temp'овские папки, но удаление прошло...

    Сделать ещё проверки?

  10. #9
    Junior Member Репутация
    Регистрация
    25.02.2010
    Сообщений
    18
    Вес репутации
    25
    самостоятельно выполнен скрипт "Лечения/карантина и сбора информации для..."
    ЛОг прилагается.
    Вложения Вложения

  11. #10
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,648
    Вес репутации
    2917
    Цитата Сообщение от Wet2007 Посмотреть сообщение
    thyrex, скрипт не проходит, выдаётся сообщение: "Ошибка: ';' expected в позиции 7:13"
    Прошу прощения.
    Скрипт в сообщении №4 поправил. Выполняйте
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  12. #11
    Junior Member Репутация
    Регистрация
    25.02.2010
    Сообщений
    18
    Вес репутации
    25

    Перезапуск изменённого скрипта...

    Изменённый скрипт в сообщении №4 был успешно выполнен.
    Машина перегрузилась, кнопка "диспетчера задач" стала активной в вызываемом меню КНТРЛ+АЛЬТ+ДЕЛ.... (Безопасный режим не ожил...)

    В загрузившемся компьютере была выполнена диагностика согласно правилам: Сначала (отключив всё), AVZ - "Скрипт лечения/карантина..." - перегрузка, затем с подкл.интернетом "Сбор информации..."
    и запуск HijackThis.

    Логи, полученные при этом прилагаю.
    Вложения Вложения

  13. #12
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,648
    Вес репутации
    2917
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('C:\Program Files\Internet Explorer\romdrivers.dll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{0CD68AC9-FF63-3E61-626B-B663E62F6236}');
     DeleteFile('C:\Program Files\Ask.com\UpdateTask.exe');
    DeleteFileMask('C:\Program Files\Ask.com', '*.*', true);
    DeleteDirectory('C:\Program Files\Ask.com');
    DeleteFile('C:\Windows\Tasks\Scheduled Update for Ask Toolbar.job');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи + лог http://virusinfo.info/showpost.php?p=457118&postcount=1
    Последний раз редактировалось thyrex; 26.02.2010 в 00:16.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  14. #13
    Junior Member Репутация
    Регистрация
    25.02.2010
    Сообщений
    18
    Вес репутации
    25

    Ошибка скрипта....

    Не получилось. Выдаёт "Ошибка: ';' expected в позиции 7:13"

  15. #14
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,648
    Вес репутации
    2917
    Поправил
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  16. #15
    Junior Member Репутация
    Регистрация
    25.02.2010
    Сообщений
    18
    Вес репутации
    25
    thyrex, Поскольку, ожидая правки, дабы не терять времени я скачал прогу по предложенной ссылке http://virusinfo.info/showpost.php?p=457118&postcount=1 и запустил полную проверку, думаю, что времени займёт не мало, решил оставить заниматься ей с компом до утра ... Завтра уже буду запускать правленный скрипт.
    Если же принципиально важно СНАЧАЛА выполнить скрипт в AVZ, а только потом уже произвести полное сканирование программой "Malwarebytes' Anti-Malware" -
    прошу уведомить меня об этом.
    Спасибо Вам за Вашу работу!!!

  17. #16
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,648
    Вес репутации
    2917
    Не принципиально. Проверяйтесь
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  18. #17
    Junior Member Репутация
    Регистрация
    25.02.2010
    Сообщений
    18
    Вес репутации
    25

    ... отчёт 2

    Выслал карантин после выполнения последнего скрипта:
    "Результат загрузки
    Файл сохранён как 100226_122315_virus_4b87930394fad.zip
    Размер файла 15236846
    MD5 711a90b12fe3d74ee0bac73ca14a6fd3
    Файл закачан, спасибо!"

    ТАкже высылаю лог, сделанный запуском (с полным обследованием) программы "mbam-setup.exe".

    Сейчас сделаю логи, согласно правилам.
    Вложения Вложения

  19. #18
    Junior Member Репутация
    Регистрация
    25.02.2010
    Сообщений
    18
    Вес репутации
    25

    ... логи, согласно правилам.

    Посмотрите, пожалуйста!
    Вложения Вложения

  20. #19
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,648
    Вес репутации
    2917
    Удалите в МВАМ
    Код:
    Заражено ключей реестра:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{fffc57db-1de3-4303-b24d-cee6dcdd3d86} (Adware.MyCentria) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\fieryads (Adware.FieryAds) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mycentria (Adware.MyCentria) -> No action taken.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netprotocol (Trojan.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETPROTOCOL (Trojan.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\MyCentria (Adware.MyCentria) -> No action taken.
    
    Заражено папок:
    C:\Program Files\FieryAds (Adware.Adware.FearAds) -> No action taken.
    C:\Program Files\MyCentria (Adware.MyCentria) -> No action taken.
    C:\Program Files\MyCentria\Firefox (Adware.MyCentria) -> No action taken.
    C:\Program Files\MyCentria\InfoBar (Adware.MyCentria) -> No action taken.
    
    Заражено файлов:
    C:\Program Files\FieryAds\FieryAdsUninstall.exe (Adware.FieryAds) -> No action taken.
    C:\Program Files\MyCentria\MyCentriaUninstall.exe (Adware.MyCentria) -> No action taken.
    C:\Program Files\MyCentria\Firefox\adcentria.uid (Adware.MyCentria) -> No action taken.
    C:\Program Files\MyCentria\Firefox\adcentria.xml (Adware.MyCentria) -> No action taken.
    C:\Documents and Settings\Я\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken.
    C:\WINDOWS\Debug\UserMode\explorer.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  21. #20
    Junior Member Репутация
    Регистрация
    25.02.2010
    Сообщений
    18
    Вес репутации
    25

    Удалить НЕЛЬЗЯ!

    Произвести удаление в МВАМ не представляется возможным, поскольку после нажатия кнопки "Удаление выделенного" программа зависает...

    Произвёл удаление перечисленных папок в ручную, а ключи в ручную прямо из реестра удалил.

    Что мне следует предпринять? Сделать логи?
    (компьютер не перегружал)

  • Уважаемый(ая) Wet2007, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 3
      Последнее сообщение: 15.03.2012, 11:26
    2. Ответов: 5
      Последнее сообщение: 27.08.2010, 16:06
    3. Ответов: 2
      Последнее сообщение: 17.06.2010, 03:01
    4. Ответов: 0
      Последнее сообщение: 08.06.2010, 22:21
    5. Блокировка диспетчера задач
      От DIAMOND в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 22.02.2009, 02:01

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00176 seconds with 22 queries