Показано с 1 по 13 из 13.

Компьютер кидает заразу на Flash-накопители (заявка № 83472)

  1. #1
    Junior Member Репутация
    Регистрация
    28.05.2010
    Адрес
    Минск
    Сообщений
    35
    Вес репутации
    51

    Thumbs up Компьютер кидает заразу на Flash-накопители

    Здравствуйте!

    Взялся за "подлатывание" старого компьютера (XP SP2)

    Была проблема: заражал флешки + кидал в сетевое окружение .EXE файлы с разными именами. NODом они не палились, но на virustotal было видно, что вирусы!

    Также не могу отключить восстановление системы!
    (раньше лечил CureIt, но где-то через неделю проблема повторялась)

    Уважаемые Хелперы, сейчас с Вашей помощью хочу удалить с моей тачки всякую бяку. Затем поставить SP3, + скачать обновления.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
    - Выгрузите антивирус и/или Файрвол
    - Закройте все программы
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DelCLSID('{63MAD6M8-1MAD-81AD-JIM6-26OP5G6789085}');
     DelCLSID('{63MAD6M8-1MAD-81AD-JIM6-26OP5G1234585}');
     DelCLSID('{31IOP6M8-1DAB-81AD-BOK6-18OC5H2007645}');
     DelCLSID('{31IOP6M8-1DAB-81AD-BOK1-78OC5H3987645}');
     DelCLSID('{23MAD6M8-1MAD-77AD-JIM1-73OP5G3369085}');
     DelCLSID('{12LOP3S8-1VRX-81VS-JKL6-61OP5G7774441}');
     QuarantineFile('C:\AKON\BYONC\AKON.exe','');
     QuarantineFile('C:\DODA\JENE\NeST.exe','');
     QuarantineFile('c:\ALGERIA\FAILED\die.exe','');
     QuarantineFile('c:\Heroes\FILES\NVeB.exe','');
     QuarantineFile('C:\Zolander\Polanda\box.exe','');
     QuarantineFile('c:\WIN\DOWS\LAX.exe','');
     DeleteFile('c:\WIN\DOWS\LAX.exe');
     DeleteFile('C:\Zolander\Polanda\box.exe');
     DeleteFile('c:\Heroes\FILES\NVeB.exe');
     DeleteFile('c:\ALGERIA\FAILED\die.exe');
     DeleteFile('C:\DODA\JENE\NeST.exe');
     DeleteFile('C:\AKON\BYONC\AKON.exe');
     DeleteFileMask('C:\AKON\BYONC', '*.*', true);
     DeleteDirectory('C:\AKON\BYONC');
     DeleteFileMask('C:\AKON', '*.*', true);
     DeleteDirectory('C:\AKON');
     DeleteFileMask('C:\DODA', '*.*', true);
     DeleteDirectory('C:\DODA');
     DeleteFileMask('c:\ALGERIA', '*.*', true);
     DeleteDirectory('c:\ALGERIA');
     DeleteFileMask('c:\Heroes', '*.*', true);
     DeleteDirectory('c:\Heroes');
     DeleteFileMask('C:\Zolander', '*.*', true);
     DeleteDirectory('C:\Zolander');
     DeleteFileMask('c:\WIN', '*.*', true);
     DeleteDirectory('c:\WIN');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.1-3 раздела Диагностика.(virusinfo_syscure.zip;virusinfo_sysch eck.zip; hijackthis.log)
    - Сделайте лог MBAM

  4. #3
    Junior Member Репутация
    Регистрация
    28.05.2010
    Адрес
    Минск
    Сообщений
    35
    Вес репутации
    51
    Все вышеуказанные скрипты выполнил.


    Остались проблемы:

    1. При попытке установить SP3 - пишет
    "Пакет обновления 3 - файл .../......./update.inf неправилен"
    Возможно, это связано с тем, что винда XP Home SP2?

    2. В меню "Система" просто НЕТ вкладки "Восстановление системы"!
    Раньше (давно) точно была. При попытке запустить восстановление из Справки, Служебные - никакого результата!

    3. Не запускается брандмауэр Windows. Обычно я его отключаю, но настораживает, что не могу запустить.

    4. Система (раньше) не запускалась в безопасном режиме.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     SetAVZPMStatus(true);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('C:\RECYCLER\S-1-5-21-2677728229-7902065250-192152152-1691\nissan.exe','');
     DeleteFile('C:\RECYCLER\S-1-5-21-2677728229-7902065250-192152152-1691\nissan.exe');
     DelCLSID('{63MAD6M8-1MAD-81AD-JIM6-26OP5G6789085}');
     DelCLSID('{63MAD6M8-1MAD-81AD-JIM6-26OP5G1234585}');
     DelCLSID('{31IOP6M8-1DAB-81AD-BOK6-18OC5H2007645}');
     DelCLSID('{31IOP6M8-1DAB-81AD-BOK1-78OC5H3987645}');
     DelCLSID('{23MAD6M8-1MAD-77AD-JIM1-73OP5G3369085}');
     DelCLSID('{12LOP3S8-1VRX-81VS-JKL6-61OP5G7774441}');
     QuarantineFile('C:\AKON\BYONC\AKON.exe','');
     QuarantineFile('C:\DODA\JENE\NeST.exe','');
     QuarantineFile('c:\ALGERIA\FAILED\die.exe','');
     QuarantineFile('c:\Heroes\FILES\NVeB.exe','');
     QuarantineFile('C:\Zolander\Polanda\box.exe','');
     QuarantineFile('c:\WIN\DOWS\LAX.exe','');
     DeleteFile('c:\WIN\DOWS\LAX.exe');
     DeleteFile('C:\Zolander\Polanda\box.exe');
     DeleteFile('c:\Heroes\FILES\NVeB.exe');
     DeleteFile('c:\ALGERIA\FAILED\die.exe');
     DeleteFile('C:\DODA\JENE\NeST.exe');
     DeleteFile('C:\AKON\BYONC\AKON.exe');
     DeleteFileMask('C:\AKON\BYONC', '*.*', true);
     DeleteDirectory('C:\AKON\BYONC');
     DeleteFileMask('C:\AKON', '*.*', true);
     DeleteDirectory('C:\AKON');
     DeleteFileMask('C:\DODA', '*.*', true);
     DeleteDirectory('C:\DODA');
     DeleteFileMask('c:\ALGERIA', '*.*', true);
     DeleteDirectory('c:\ALGERIA');
     DeleteFileMask('c:\Heroes', '*.*', true);
     DeleteDirectory('c:\Heroes');
     DeleteFileMask('C:\Zolander', '*.*', true);
     DeleteDirectory('C:\Zolander');
     DeleteFileMask('c:\WIN', '*.*', true);
     DeleteDirectory('c:\WIN');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('SCU', 2, 2, true);
     ExecuteRepair(6);
     ExecuteRepair(8);
     RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - удалите в MBAM
    Код:
    Зараженные ключи в реестре:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{63mad6m8-1mad-81ad-jim6-26op5g6789085} (Backdoor.Bot) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{63mad6m8-1mad-81ad-jim6-26op5g1234585} (Backdoor.Bot) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{12lop3s8-1vrx-81vs-jkl6-61op5g7774441} (Trojan.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.
    
    Зараженные параметры в реестре:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell (Worm.AutoRun) -> No action taken.
    
    Объекты реестра заражены:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (explorer.exe,C:\RECYCLER\S-1-5-21-2677728229-7902065250-192152152-1691\nissan.exe) Good: (Explorer.exe) -> No action taken.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
    - Сделайте лог MBAM

  6. #5
    Junior Member Репутация
    Регистрация
    28.05.2010
    Адрес
    Минск
    Сообщений
    35
    Вес репутации
    51
    Все выполнил. Вот указанные логи.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - сделайте лог Combofix

  8. #7
    Junior Member Репутация
    Регистрация
    28.05.2010
    Адрес
    Минск
    Сообщений
    35
    Вес репутации
    51
    После выполнения скриптов система нашла новое оборудование!

    В диспетчере устройств: "Нет данных", "Неизвестное устройство".

    Добавлено через 35 секунд

    Сейчас сделаю.
    Последний раз редактировалось Lebetski; 20.07.2010 в 21:11. Причина: Добавлено

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    Цитата Сообщение от Lebetski Посмотреть сообщение
    После выполнения скриптов система нашла новое оборудование!
    В диспетчере устройств: "Нет данных", "Неизвестное устройство".
    - удалите его через диспетчер устройств.

  10. #9
    Junior Member Репутация
    Регистрация
    28.05.2010
    Адрес
    Минск
    Сообщений
    35
    Вес репутации
    51
    Вот лог Combifix.

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    1. кнопка Пуск - Выполнить - regedit, откроется редактор реестра
    Зайдите в ветку
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    и удалите параметры
    AExpSrv
    MsSeSvc
    2. Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
    - Выгрузите антивирус и/или Файрвол
    - Закройте все программы
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('c:\windows\system32\winlogon.exe','');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

    - Замените файл c:\windows\system32\winlogon.exe на чистый из дистрибутива

  12. #11
    Junior Member Репутация
    Регистрация
    28.05.2010
    Адрес
    Минск
    Сообщений
    35
    Вес репутации
    51
    Делаю сейчас.

    Подойдет ли winlogon.exe на Home (SP3 поставил после лечения ComboFox) от системы Professional?

    Добавлено через 2 минуты

    Делаю сейчас.

    Подойдет ли winlogon.exe на Home (SP3 поставил после лечения ComboFox) от системы Professional?

    Добавлено через 1 минуту

    Карантин прислал.
    Последний раз редактировалось Lebetski; 20.07.2010 в 22:23. Причина: Добавлено

  13. #12
    Junior Member Репутация
    Регистрация
    28.05.2010
    Адрес
    Минск
    Сообщений
    35
    Вес репутации
    51
    Спасибо Вам большое. Вылечил наконец-то!

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 26
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Lebetski, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Кидает на internet.com
      От PapkaZol в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2012, 02:27
    2. инет кидает на контакт
      От Yusa в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 24.12.2010, 20:56
    3. Ответов: 7
      Последнее сообщение: 22.12.2009, 14:01
    4. Ответов: 1
      Последнее сообщение: 30.11.2009, 17:00
    5. Ответов: 4
      Последнее сообщение: 27.10.2009, 18:41

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00799 seconds with 17 queries