Помогите пожалуйста убить вирус
Вот вложения:
Где-то сидит вирус
Помогите пожалуйста убить вирус
Вот вложения:
Последний раз редактировалось Saviour; 14.04.2010 в 17:55.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Отключите восстановление системы
Пофиксите в Hijackthis:Обновите базы AVZ!!!Код:R3 - URLSearchHook: (no name) - - (no file)
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам (virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log)Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\USB.exe',''); QuarantineFile('C:\Documents and Settings\1\Шаблоны\Brengkolang.com',''); QuarantineFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\BLUE.exe',''); QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe',''); QuarantineFile('C:\Documents and Settings\1\Local Settings\Application Data\smss.exe',''); DeleteFile('C:\Documents and Settings\1\Local Settings\Application Data\smss.exe'); DelCLSID('28ABC5C0-4FCB-11CF-AAX5-21CX3C644241'); DeleteFile('C:\Documents and Settings\1\Шаблоны\Brengkolang.com'); DeleteFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\USB.exe'); DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe'); DeleteFile('C:\Windows\Tasks\At1.job'); DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\BLUE.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tok-Cirrhatus'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Tok-Cirrhatus'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Tok-Cirrhatus'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','FIREWALL SERVICE'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteWizard('TSW',2,2,true); RebootWindows(true); end.
Обновить почему-то не получаетсяПишет "ошибка в ходе автоматического обновления...".
Запрошенный карантин:
Файл сохранён как 100412_145401_virusinfo_cure_4bc2fbc961d93.zip
Размер файла 22563
MD5 4efc3b874b2eb278235f5111aac49c83
Новые логи:
Последний раз редактировалось Saviour; 14.04.2010 в 17:55.
Скачайте отсюда архив с новыми базами, распакуйте его. Удалите папку Base и скопируйте вместо неё разархивированную. Сделайте новые логи.
Базу обновил. Вот новые вложения:
Последний раз редактировалось Saviour; 14.04.2010 в 17:55.
- Выполните скрипт в AVZ
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin QuarantineFile('c:\program files\creative\mediasource\go\ctcmsgo.exe',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\atapi.sys',''); CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте такой лог .
Карантин отослал.
При проверке malwarebytes на диске С нашёлся 1 инфицированный файл,а при дальнейшей проверке диска Е вылетел синий экран смерти и компьютер перезагрузился. При попытке скана диска Е AVZ, снова вылезает синий экран на котором:
IRQL_NOT_LESS_OR_EQUAL
.
.
.
STOP: 0x0000000A (0x2CC73033,0x000000001C,0x000000000)
Beginning dump of physical memory.
Physical memory dump complete.
Добавлено через 1 час 32 минуты
При скане дисков AVZ постоянно высвечивается это:
C:\WINDOWS\system32\ctagent.dll --> Подозрение на Keylogger или троянскую DLL
Так же прикреплю скрин:
Последний раз редактировалось Saviour; 14.04.2010 в 17:55.
Хелперы,помогите плиз!..
Вот что показал Malwarebytes:
+ ЛОГ
Последний раз редактировалось Saviour; 14.04.2010 в 17:55.
1.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\Desktop.ini ',''); DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\Desktop.ini '); QuarantineFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini ',''); DeleteFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini '); QuarantineFile('C:\WINDOWS\svchost.exe',''); DeleteFile('C:\WINDOWS\svchost.exe'); QuarantineFile('C:\Program Files\ICQToolbar\toolbaru.dll ',''); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
2. удалить в MBAM
Код:Зараженные ключи в реестре: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-21cx3c644241} (Worm.AutoRun) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\powermanager (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> No action taken. Зараженные папки: C:\RESTORE\k-1-3542-4232123213-7676767-8888886 (Trojan.Agent) -> No action taken. C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> No action taken. C:\Documents and Settings\1\Local Settings\Application Data\Bron.tok-12-12 (Worm.Brontok) -> No action taken. C:\Documents and Settings\1\Local Settings\Application Data\Bron.tok-12-13 (Worm.Brontok) -> No action taken. C:\Documents and Settings\1\Local Settings\Application Data\Bron.tok-12-14 (Worm.Brontok) -> No action taken. C:\Documents and Settings\NetworkService\Local Settings\Application Data\Bron.tok-12-13 (Worm.Brontok) -> No action taken.
- Сделайте повторные логи virusinfo_syscheck.zip и MBAM
Карантин закачал
Вот новые логи:
Последний раз редактировалось Saviour; 14.04.2010 в 17:55.
1. Закройте все приложения, и запустите используемый в Вашей системе интернет браузер (IE, FireFox, Opera ... - если применяется несколько браузеров, то можно запустить их все, это требуется, чтобы AVZ мог проанализировать используемые браузерами модули расширения и плагины)
2. AVZ, меню "Файл\Стандартные скрипты". В открывшемся окне необходимо отметить скрипт номер 4 ("Скрипт сбора неопознанных и подозрительных файлов") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 0.5-2 минуты. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
Закачать архив с файлами можно здесь http://virusinfo.info/upload_clean.php
Обратите внимание на отчёт после завершения закачки:
Размер закачанного файла
MD5 закачанного файла
Имя файла на сервере (добавляется случайная часть во избежании конфликтов имени)
Установите SP3 и вышедшие после него обновления (может потребоваться активация), обновите браузер до IE8Код:Windows 5.1.2600 Service Pack 2 Internet Explorer 6.0.2900.2180
The Truth is Out There
Файл сохранён как 100413_162927_virusinfo_files_1-44D4388A0484_4bc463a7c95b0.zip
Размер файла 4004716
MD5 3105331c34e7ec7d5ec2a3eea7ff97f7
Обновления сейчас поищу
Service Pack 3(может потребоваться активация)
Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
Установил IE 8 и СП3. Сделать какие-нибудь логи?
Последний раз редактировалось Saviour; 13.04.2010 в 17:28.
нет на этом лечение можно считать законченным
Почему-то стало намного хуже((( Видеофайлы перестали открываться и после попытки открытия видеофайла происходит полный сбор системы,шрифтов и т.д...
Вам необходимо было обновить систему, она у вас дырявая как решето была. СП3 с майкрософт качали? Объясните подробнее суть проблемы - какой программой открываете, с каким расширением видеофайл, и что происходит при открытии
The Truth is Out There
СП3 качал с майкрософта.
Смотрите какая штука: если просто запустить компьютер и после сканирования (AVZ) не трогать файлы,которые он находит как подозрительные ("Подозрение на Keylogger или троянскую DLL" и ещё какие-то перехватчики),то компьютер работает абсолютно нормально.
Если же начать лечить(удалять) эти файлы,то происходят зависания системы,перестают открываться все программы,шрифты слетают,диспетчер задач не открывается,видеофайлы не открываются.
Прогнал сейчас ещё раз MBM,в нём всё чисто. Его надо удалить из системы?
Это легитимные файлы, их не надо трогать. Вообще не надо ничего лечить и удалять, если вам явно не указали на это хелперы, если что неясно - спрашивайте, вам обязательно ответятСообщение от Saviour
МВАМ удалите
The Truth is Out There
Ребят,ничего не помогло,опять всё как и было. Постоянные перезагрузки,синие экраны. При сканировании других жёстких дисков AVZ постоянно при появлениие этой строки (Прямое чтение C:\DOCUME~1\1\LOCALS~1\Temp\avz_3128_1.tmp) "орёт" мой антивирус (НОД32) находя данный вирус: Win32/TrojanClicker.Small.IS
Вот выкладываю скрины того,что у меня с компом происходит:
Последний раз редактировалось Saviour; 23.04.2010 в 12:22.
Уважаемый(ая) Saviour, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
