Показано с 1 по 14 из 14.

Помогите...не лечится вирус (заявка № 83444)

  1. #1
    Junior Member Репутация
    Регистрация
    20.07.2010
    Сообщений
    6
    Вес репутации
    51

    Thumbs down Помогите...не лечится вирус

    обнаружено: троянская программа Trojan-Dropper.Win32.Agent.ayqh Модуль: SVCHOST.EXE\svchoSt.exe

    Касперский никак не может вылечить данный вирус, что делать? логи прикрепляю

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    293
    Отключите компьютер от интернета, а также отключите антивирус и/или файрвол.
    Закройте все программы, выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\RECYCLER\S-1-5-21-4104765463-8053439508-984484276-5913\nissan.exe','');
     QuarantineFile('C:\WINDOWS\system32\0C68BJ1M\J001.exe','');
     QuarantineFile('c:\windows\system32\sopasvstart.dll','');
     DeleteService('u7t');
     DeleteFile('c:\windows\system32\sopasvstart.dll');
     DeleteFile('C:\WINDOWS\system32\0C68BJ1M\J001.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-4104765463-8053439508-984484276-5913\nissan.exe');
     DeleteFile('C:\WINDOWS\system32\sopasvstart.dll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SopSrv\Parameters','ServiceDll');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
    RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'ImagePath', 'REG_EXPAND_SZ', '%SystemRoot%\System32\svchost.exe -k netsvcs');
    RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\BITS', 'ImagePath', 'REG_EXPAND_SZ', '%SystemRoot%\System32\svchost.exe -k netsvcs');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteWizard('TSW',2,2,true);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам (virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log) + лог mbam

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    20.07.2010
    Сообщений
    6
    Вес репутации
    51
    вот приклепляю логи
    Последний раз редактировалось sector; 20.07.2010 в 15:36.

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    1. удалите в MBAM
    Код:
    Зараженные ключи в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.
    
    Зараженные параметры в реестре:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell (Worm.AutoRun) -> No action taken.
    
    Объекты реестра заражены:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (C:\RECYCLER\S-1-5-21-1164073279-0720463678-968809053-4029\nissan.exe,explorer.exe) Good: (Explorer.exe) -> No action taken.
    
    Зараженные файлы:
    C:\TEMP\FengYun.dll (Backdoor.Xyligan) -> No action taken.
    2.Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
      QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OJ9JMU4X\8888[2].exe','');
     QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\KUUVAAAR\H001[1].exe','');
     QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\ESCF274Y\E001[1].exe','');
     QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\ESCF274Y\A19[1].exe','');
     DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OJ9JMU4X\8888[2].exe');
     DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\KUUVAAAR\H001[1].exe');
     DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\ESCF274Y\A19[1].exe');
     DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\ESCF274Y\E001[1].exe');
     QuarantineFile('C:\WINDOWS\system32\JINE2UXX\E001.exe','');
     QuarantineFile('C:\WINDOWS\system32\EA5H6R5G\E001.exe','');
     QuarantineFile('C:\WINDOWS\system32\sopasclib.dll','');
     DeleteFile('C:\WINDOWS\system32\JINE2UXX\E001.exe');
     DeleteFile('C:\WINDOWS\system32\EA5H6R5G\E001.exe');
     DeleteFile('C:\WINDOWS\system32\sopasclib.dll');
     DeleteFileMask('C:\WINDOWS\system32\JINE2UXX', '*.*', true);
     DeleteDirectory('C:\WINDOWS\system32\JINE2UXX');
     DeleteFileMask('C:\WINDOWS\system32\EA5H6R5G', '*.*', true);
     DeleteDirectory('C:\WINDOWS\system32\EA5H6R5G');
     DeleteFileMask('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
     QuarantineFile('C:\RECYCLER\S-1-5-21-1164073279-0720463678-968809053-4029\nissan.exe','');
     DeleteFile('C:\RECYCLER\S-1-5-21-1164073279-0720463678-968809053-4029\nissan.exe');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
    - Сделайте лог MBAM

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    И сообщение №3 прочтите
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    20.07.2010
    Сообщений
    6
    Вес репутации
    51
    выкладываю новые логи

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    c:\windows\system32\sopasvstart.dll
    
    Driver::
    SopSrv
    
    Folder::
    c:\windows\system32\PNOGKMLQ
    c:\windows\system32\4486G8ZZ
    c:\windows\system32\1CYZRQ5N
    c:\windows\system32\Z8B0VBBF
    c:\windows\system32\EIJ8NPXV
    c:\windows\system32\A0M6FNEH
    c:\windows\system32\8OWHYC8J
    c:\windows\system32\L3FHLVDR
    c:\windows\system32\E5JCLDHL
    c:\windows\system32\FNYGODT5
    c:\windows\system32\V4UR8YY2
    c:\windows\system32\t
    
    Registry::
    
    FileLook::
    C:\install_flash_player.exe
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Junior Member Репутация
    Регистрация
    20.07.2010
    Сообщений
    6
    Вес репутации
    51
    сделал...

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    c:\windows\system32\acpi24.sys
    c:\windows\system32\Service.exe
    c:\windows\system32\Antiuzhbh.exe
    c:\windows\system32\Antitxoax.exe
    c:\windows\system32\Aseoivrlug.exe
    c:\windows\system32\xcvcxzve.exe
    c:\windows\system32\acpi24.exe
    c:\windows\system32\acpi24.dll
    c:\windows\932796.tmp
    c:\windows\932812.tmp
    c:\windows\359718.tmp
    c:\windows\359781.tmp
    c:\windows\system32\sopasclib.dll
    c:\windows\151203.tmp
    c:\windows\158718.tmp
    c:\windows\129718.tmp
    c:\windows\151218.tmp
    C:\install_flash_player.exe
    
    Driver::
    acpi24Drv
    ba
    MediaCsrmhu
    MediaCxcvxc
    MyuiaCkqndo
    sdfas
    
    Folder::
    
    Registry::
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    "SopSrv"=-
    
    FileLook::
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Junior Member Репутация
    Регистрация
    20.07.2010
    Сообщений
    6
    Вес репутации
    51
    новые логи

  13. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    c:\windows\system32\acpi24.exe
    
    Driver::
    darksheii
    acpi24
    F08113343K
    
    Folder::
    C:\FOUND.001
    c:\windows\system32\TY14WRC5
    c:\windows\system32\Q8BILQJP
    c:\windows\system32\ZTDWIHR1
    c:\windows\system32\XO7RFI1R
    c:\windows\system32\WJWSG2N7
    c:\windows\system32\BYLQBXN1
    C:\FOUND.000
    
    Registry::
    
    FileLook::
    c:\windows\system32\drivers\tcpz-x86d.sys
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. #13
    Junior Member Репутация
    Регистрация
    20.07.2010
    Сообщений
    6
    Вес репутации
    51
    Спасибо за помощь, но на заряжённом компьютере из-за корявых ручек юзеров слетела винда.
    Извиняюсь что долго не отвечал-не было времени, т.к. из-за корявых ручек неизвестных мне механиков на автобусе отказали тормоза и он вьехал в мою машину и мне было не до вирусов.

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 6
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\sopasclib.dll - Net-Worm.Win32.Kolab.jsr ( BitDefender: DeepScan:Generic.Malware.WX!.1DB50295 )


  • Уважаемый(ая) sector, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. помогите полечится от вируса (ов)
      От V-A-S в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 21.12.2011, 14:53
    2. Вирус который ни чем не лечится!
      От sanya33 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 08.09.2011, 22:08
    3. Помогите! не лечится.
      От Wolf533 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 23.10.2009, 13:26
    4. Вирус не лечится
      От Sancho в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 01.04.2009, 16:42
    5. вирус не лечится
      От germantk в разделе Помогите!
      Ответов: 23
      Последнее сообщение: 22.02.2009, 07:31

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00732 seconds with 19 queries