Показано с 1 по 13 из 13.

Куча разных вирусов. (заявка № 89941)

  1. #1
    Junior Member Репутация
    Регистрация
    13.12.2008
    Адрес
    Ukraine, Lviv
    Сообщений
    38
    Вес репутации
    30

    Exclamation Куча разных вирусов.

    У знакомых на компе завелось куча вирусов.
    Антивирус стоит Zillya!
    Винда - XP Pro Philka Edition.

    Так как находится у них для проведения всех пунктов для создания темы я не могу - ибо это занимает очень много времени, я к ним подконектился с помощью Radmin и Hamachi.

    Так что я немного нарушил процедуру описаную в Правилах, а именно:
    1. Сканирование компа утилитой AVPTool проводилось НЕ в безопасном режиме.
    2. Пункт 5 - Отключите восстановление системы. не удалось выполнить, т.к. в Свойствах Системы отсутствует такая вкладка... Я уже всё перерыл. Перечитал в нэте кучу тем об этом. В груповых политиках лазил, и реестре. Так и не смог добится появления этой вкладки. Возможно вирус её забрал с потрохами
    3. Отключитесь от сети Интернет и ...

    Вот тут я не сделал следующего: не отключался от Интернета, ибо не смог бы продолжать управлять их компом удалённо. Не закрывал Radmin Server, Hamachi, ICQ (нужна для переписки с владельцем компа). И ещё у них есть утилита для доступа к Интернету от провайдера. Её тоже оставил включённой. IE забыл включить. Немного поспешил, и перед первым запуском сканирования не поотключал всех програм, в т.ч. и антивирус.
    Остановил сканирование AVZ, выключил всё лишнее и запустил опять скрипт.

    Перезагрузил, и запустил второй скрипт AVZ.
    Потом по завершении скрипта запустил HiJackThis.
    Последний раз редактировалось SergSlim; 16.10.2010 в 01:02.

  2. Реклама
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Пофиксите в HijackThis:
    Код:
    R3 - URLSearchHook: (no name) - {F08555B0-9CC3-11D2-AA8E-000000000567} - (no file)
    R3 - URLSearchHook: (no name) -  - (no file)
    R3 - URLSearchHook: (no name) - {00000000-6E41-4FD3-8538-502F5495E5FC} - (no file)
    F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
    O4 - HKLM\..\Run: [Driver Control Manager v4.7] C:\Temp\dvadeset.exe
    O4 - HKLM\..\Run: [Driver Control Manager v5.3] C:\Temp\dvadessest.exe
    O4 - HKLM\..\Run: [Driver Control Manager v5.4] C:\Temp\dvadessedan.exe
    O4 - HKLM\..\Run: [Driver Control Manager v5.5] C:\Temp\dvadesosan.exe
    O4 - HKLM\..\Run: [Driver Control Manager v5.7] C:\Temp\tridesee.exe
    O4 - HKLM\..\Run: [Driver Control Manager v5.8] C:\Temp\tridesejean.exe
    O4 - HKLM\..\Run: [Driver Control Manager v5.9] C:\Temp\tridesedva.exe
    O4 - HKLM\..\Run: [Driver Control Manager v6.0] C:\Temp\tridesetri.exe
    O4 - HKLM\..\RunServices: [csrcs] C:\WINDOWS\system32\csrcs.exe
    O4 - HKCU\..\Run: [Driver Control Manager v5.9] C:\Temp\tridesedva.exe
    O4 - HKCU\..\Run: [Driver Control Manager v5.3] C:\Temp\dvadessest.exe
    O4 - HKCU\..\Run: [Driver Control Manager v6.0] C:\Temp\tridesetri.exe
    O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
     QuarantineFile('C:\Temp\tridesetri.exe','');
     QuarantineFile('C:\Temp\tridesejean.exe','');
     QuarantineFile('C:\Temp\tridesee.exe','');
     QuarantineFile('C:\Temp\tridesedva.exe','');
     QuarantineFile('C:\Temp\dvadessest.exe','');
     QuarantineFile('C:\Temp\dvadessedan.exe','');
     QuarantineFile('C:\Temp\dvadesosan.exe','');
     QuarantineFile('C:\Temp\dvadeset.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\vhrbcebr.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\mjtrgsnr.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\mfteqrfb.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\kljeulcg.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\grgjuuvm.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\fdjmljyd.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\dprxzcmo.sys','');
     DeleteFile('C:\WINDOWS\System32\Drivers\dprxzcmo.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\fdjmljyd.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\grgjuuvm.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\kljeulcg.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\mfteqrfb.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\mjtrgsnr.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\vhrbcebr.sys');
     DeleteFile('C:\Temp\dvadeset.exe');
     DeleteFile('C:\Temp\dvadesosan.exe');
     DeleteFile('C:\Temp\dvadessedan.exe');
     DeleteFile('C:\Temp\dvadessest.exe');
     DeleteFile('C:\Temp\tridesedva.exe');
     DeleteFile('C:\Temp\tridesee.exe');
     DeleteFile('C:\Temp\tridesejean.exe');
     DeleteFile('C:\Temp\tridesetri.exe');
     DeleteFile('C:\WINDOWS\System32\drivers\dwprot.sys');
     DeleteFile('C:\WINDOWS\system32\KB905474\wgasetup.exe');
     DeleteFile('C:\WINDOWS\system32\csrcs.exe');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('TSW',2,3,true);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=89941).
    Сделайте новые логи.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    13.12.2008
    Адрес
    Ukraine, Lviv
    Сообщений
    38
    Вес репутации
    30
    Пофиксил.
    Выполнил скрипт.

    почему-то я решил что надо запускать скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info в безопасном режиме и попросил это сделать владельцев компа.
    Потом запустил Скрипт сбора информации для раздела "Помогите!" virusinfo.info.
    Потом Do a system scan and save a logfile в HiJackThis.

    Потом я прочитал что первый скрипт стандартный не надо было делать в безопасном, и ещё раз выполнил его уже в обычном режиме, со всеми закрытыми прогами кроме Hamachi, Radmin Server, и прогой для Интернета.

    Потом опять скрипт сбора информации и hijackthis.

    Обновил логи в первом посте.

    Папка карантина была на момент последней перезагрузки пуста... не знаю куда делить файлы оттуда, если они там вообще были.
    Может надо было их выслать до выполнения стандартных скриптов программы сразу же после выполнения скрипта из предыдщуего ответа...

  5. #4
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,523
    Вес репутации
    2915
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\sshnas21.dll','');
     QuarantineFile('C:\Documents and Settings\Марта.6C9A9ACE47AC420\dkwbvbm.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\lpxcuabo.sys','');
     DeleteService('lpxcuabo');
     QuarantineFile('C:\WINDOWS\System32\Drivers\isyegdki.sys','');
     DeleteService('isyegdki');
     QuarantineFile('C:\WINDOWS\System32\Drivers\fqnhijzl.sys','');
     DeleteService('fqnhijzl');
     QuarantineFile('C:\WINDOWS\System32\Drivers\cqzzxkqd.sys','');
     DeleteService('cqzzxkqd');
     SetServiceStart('yegdyzhl', 4);
     DeleteService('yegdyzhl');
     QuarantineFile('C:\WINDOWS\system32\Drivers\yegdyzhl.sys','');
     TerminateProcessByName('c:\temp\kml.exe');
     QuarantineFile('c:\temp\kml.exe','');
     TerminateProcessByName('c:\windows\kgezyb.exe');
     QuarantineFile('c:\windows\kgezyb.exe','');
     DeleteFile('c:\windows\kgezyb.exe');
     DeleteFile('c:\temp\kml.exe');
     DeleteFile('C:\WINDOWS\system32\Drivers\yegdyzhl.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\cqzzxkqd.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\fqnhijzl.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\isyegdki.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\lpxcuabo.sys');
     DeleteFile('C:\Documents and Settings\Марта.6C9A9ACE47AC420\dkwbvbm.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSConfig');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','IJKUK66HMN');
     DeleteFile('C:\WINDOWS\system32\sshnas21.dll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SSHNAS\Parameters','ServiceDll');
    DeleteFile('%windir%\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job');
    DeleteFile('%windir%\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('yegdyzhl');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи и прикрепите к следующему сообщению

    Сделайте лог gmer
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  6. #5
    Junior Member Репутация
    Регистрация
    13.12.2008
    Адрес
    Ukraine, Lviv
    Сообщений
    38
    Вес репутации
    30
    Запустил скрипт в AVZ, комп перезагрузился.
    Зашёл в AVZ в "Файл" -> "Просмотр карантина". ВЫделил все файлы в правой колонке и выбрал Заархивировать.
    файл virus.zip не имел пароля на открытие как написано по ссылке Прислать запрошенный карантин. Так что я его разархивировал, и запаковал опять с паролем.
    Карантин прислал.

    Сейчас буду делать логи.

  7. #6
    Junior Member Репутация
    Регистрация
    13.12.2008
    Адрес
    Ukraine, Lviv
    Сообщений
    38
    Вес репутации
    30
    Логи готовы.

  8. #7
    Junior Member Репутация
    Регистрация
    13.12.2008
    Адрес
    Ukraine, Lviv
    Сообщений
    38
    Вес репутации
    30
    Меня пугает наличие восклицательного знака в названии темы, и то что уже было 2 просмотра логов и пока что не поступило ни одного ответа.....

  9. #8
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,040
    Вес репутации
    1254
    - Сохраните текст ниже как 1.bat в ту же папку, где находится 86z20bcu.exe(GMER) и запустите этот батник(1.bat):

    Код:
    86z20bcu.exe -del service clazktbd
    86z20bcu.exe -del file "C:\WINDOWS\system32\skvfzukd.dll"
    86z20bcu.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\clazktbd"
    86z20bcu.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\clazktbd"
    86z20bcu.exe -reboot
    Компьютер перезагрузится.

    После перезагрузки:
    - Сделайте повторные логи АВЗ
    - Сделайте новый лог Gmer

  10. #9
    Junior Member Репутация
    Регистрация
    13.12.2008
    Адрес
    Ukraine, Lviv
    Сообщений
    38
    Вес репутации
    30




    Может антивирус постарался......
    Последний раз редактировалось Bratez; 18.10.2010 в 06:20.

  11. #10
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Выполните скрипт в AVZ:
    Код:
    begin
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     BC_DeleteSvc('bhrwpvme');
     BC_DeleteSvc('sdonthmp');
     BC_DeleteSvc('xszyzpso');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Повторите лог virusinfo_syscheck.
    Что с проблемами?
    I am not young enough to know everything...

  12. #11
    Junior Member Репутация
    Регистрация
    13.12.2008
    Адрес
    Ukraine, Lviv
    Сообщений
    38
    Вес репутации
    30
    ЛОГ прикрепил.

    Видимых проблем не заметно.
    Хотя они и раньше были не особо выражены....
    Сообщения антивируса, какие-то ошибки при загрузке Винды, отсутствие определённых вкладок в Системе (панель управления) - сейчас этого всего не наблюдается.

    Спасибо.


    EDIT:
    Установил MSE вместо Zillya.
    Он нашёл ещё несколько вирусов:
    Win32/Renos.LX
    Елементи:
    file:C:\WINDOWS\Kgezya.exe

    INFO/Autorun.gen
    Елементи:
    file:C:\WINDOWS\System32\autorun.i
    Последний раз редактировалось SergSlim; 18.10.2010 в 23:09.

  13. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Выполните скрипт в AVZ:
    Код:
    begin
    BC_DeleteSvc('zgbclanl');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Больше ничего плохого.
    I am not young enough to know everything...

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,531
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 22
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\марта.6c9a9ace47ac420\\dkwbvbm.exe - Trojan.Win32.Inject.awln ( DrWEB: Trojan.Virtumod.18, BitDefender: Gen:Variant.Kazy.7882, AVAST4: Win32:Malware-gen )
      2. c:\\temp\\kml.exe - Trojan.Win32.FraudPack.cfyl ( DrWEB: Trojan.DownLoader1.31290, BitDefender: Gen:Variant.Kazy.1759, NOD32: Win32/TrojanDownloader.FakeAlert.AUU trojan, AVAST4: Win32:MalOb-BX [Cryp] )
      3. c:\\windows\\kgezyb.exe - Trojan.Win32.FraudPack.cgeh ( DrWEB: Trojan.DownLoader1.22695, BitDefender: Gen:Heur.FKP.1, AVAST4: Win32:MalOb-BX [Cryp] )
      4. c:\\windows\\system32\\drivers\\yegdyzhl.sys - Rootkit.Win32.Pakes.zo ( DrWEB: Trojan.Siggen.18257, BitDefender: Backdoor.Tofsee.Gen, NOD32: Win32/TrojanDownloader.Genome.CLU trojan, AVAST4: Win32:Malware-gen )
      5. c:\\windows\\system32\\sshnas21.dll - Trojan.Win32.FraudPack.cgek ( DrWEB: BackDoor.Click.1058, BitDefender: Trojan.Generic.KDV.50510, AVAST4: Win32:MalOb-BX [Cryp] )


  • Уважаемый(ая) SergSlim, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Много разных вирусов
      От AnnAit в разделе Помогите!
      Ответов: 18
      Последнее сообщение: 11.03.2010, 22:27
    2. Много разных вирусов
      От Detochkin в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 23.02.2010, 23:07
    3. Куча разных вирусов
      От Saint-technik в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 28.01.2010, 21:57
    4. много разных вирусов...
      От azza2009 в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 29.05.2009, 21:16
    5. Нахватал вирусов разных.
      От Sitpower в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 16.11.2008, 23:17

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00483 seconds with 22 queries