Показано с 1 по 8 из 8.

окончательная очистка сильно зараженной системы (заявка № 91025)

  1. #1
    Junior Member Репутация
    Регистрация
    29.06.2010
    Сообщений
    9
    Вес репутации
    24

    окончательная очистка сильно зараженной системы

    Добрый день, уважаемые специалисты!
    Cure-it в ходе проверки нашел около 200 файлов, зараженных разнообразными вирусами и троянами. Осноным симптомом, вызывавшим подозрение на наличие в системе вирусов, была программа, маскировавшаяся под утилиту обслуживания системы под названием Smart Defragmenter, которая при запуске любых программ выдавала сообщение, что файл поврежден и необходима проверка жесткого диска. При попытке удалить ее через деинсталлятор вылезала та же ошибка. При этом большая часть апплетов в Панели управления не была видна. Любые попытки отключить программу через диспетчер задач приводили к блокировке рабочего стола. После лечения Cure it все симптомы исчезли, но хотелось бы проверить, не осталось ли в системе других вредоносных программ. Необходимые логи прилагаю. Заранее спасибо за помощь!
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    426
    Здравствуйте.

    Отключите интернет.
    Выгрузите/отключите антивирус/файрволл.

    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\Dmitry\wuaucldt.exe','');
     QuarantineFile('C:\WINDOWS\System32\spool\PRTPROCS\W32X86\22.tmp','');
     QuarantineFile('c:\windows\system32\wuaucldt.exe','');
     QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\yzprrpwp.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\xsbzlmdp.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\nwgmhhtu.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\nfwvjgvz.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\joavxuao.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\jfmimsbu.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\jekrzlvw.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\ivnytncg.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\ffywvags.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\awulepmt.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
     QuarantineFile('C:\WINDOWS\system32\nopoobo.exe','');
     QuarantineFile('C:\WINDOWS\system32\viteto.exe','');
     DeleteFile('C:\WINDOWS\system32\viteto.exe');
     BC_DeleteSvc('a93eeoon16aa');
     DeleteFile('C:\WINDOWS\system32\nopoobo.exe');
     BC_DeleteSvc('wquaiuueybebe');
     DeleteFile('C:\WINDOWS\System32\Drivers\awulepmt.sys');
     BC_DeleteSvc('awulepmt');
     DeleteFile('C:\WINDOWS\System32\Drivers\ffywvags.sys');
     BC_DeleteSvc('ffywvags');
     DeleteFile('C:\WINDOWS\System32\Drivers\ivnytncg.sys');
     BC_DeleteSvc('ivnytncg');
     DeleteFile('C:\WINDOWS\System32\Drivers\jekrzlvw.sys');
     BC_DeleteSvc('jekrzlvw');
     DeleteFile('C:\WINDOWS\System32\Drivers\jfmimsbu.sys');
     BC_DeleteSvc('jfmimsbu');
     DeleteFile('C:\WINDOWS\System32\Drivers\joavxuao.sys');
     BC_DeleteSvc('joavxuao');
     DeleteFile('C:\WINDOWS\system32\Drivers\nfwvjgvz.sys');
     BC_DeleteSvc('nfwvjgvz');
     DeleteFile('C:\WINDOWS\System32\Drivers\nwgmhhtu.sys');
     BC_DeleteSvc('nwgmhhtu');
     DeleteFile('C:\WINDOWS\system32\Drivers\xsbzlmdp.sys');
     BC_DeleteSvc('xsbzlmdp');
     DeleteFile('C:\WINDOWS\System32\Drivers\yzprrpwp.sys');
     BC_DeleteSvc('yzprrpwp');
     DeleteFile('C:\WINDOWS\system32\regedit.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
     DeleteFile('c:\windows\system32\wuaucldt.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt');
     DeleteFile('C:\WINDOWS\System32\spool\PRTPROCS\W32X86\22.tmp');
     DeleteFile('C:\Documents and Settings\Dmitry\wuaucldt.exe');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('TSW',2,3,true);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    После перезагрузки выполните скрипт в AVZ:
    Код:
     begin
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
     end.
    Запустите/включите антивирус/файрволл.
    Подключите интернет.


    Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

    Повторите лог virusinfo_syscheck.zip и лог HijackThis и приложите в теме.

    Так же выполните это:
    http://support.kaspersky.ru/faq/?qid=208636926
    Файл C:\TDSSKiller.***_log.txt приложите в теме.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  4. #3
    Junior Member Репутация
    Регистрация
    29.06.2010
    Сообщений
    9
    Вес репутации
    24
    Спасибо! Все сделал, новые логи в приложении к сообщению. Карантин также выслал по правилам.
    Вложения Вложения

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    426
    Системный файл C:\WINDOWS\system32\Drivers\NDIS.sys заражен.
    Удалять его нельзя, его нужно заменить на чистый, как здесь описано:
    http://virusinfo.info/showthread.php?t=51654

    После замены выполните скрипт:

    Код:
    begin
    RegSearch('HKLM', '', '22.tmp');
    SaveLog('c:\Search.log');
    ExecuteRepair(6);
    ExecuteWizard('TSW',2,2,true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Приложите здесь файл c:\Search.log

    Повторите еще раз лог virusinfo_syscheck.zip и приложите в теме.

    Добавлено через 4 минуты

    Так же еще вот это:
    Код:
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Это вообще позор какой-то...
    Установите Service Pack 3 и обновления, вышедшие после него (может потребоваться активация).
    Обновите Internet Explorer до актуальной версии (даже если не используете).
    Последний раз редактировалось Nikkollo; 03.11.2010 в 20:37. Причина: Добавлено
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  6. #5
    Junior Member Репутация
    Регистрация
    29.06.2010
    Сообщений
    9
    Вес репутации
    24
    Это вообще позор какой-то...
    Установите Service Pack 3 и обновления, вышедшие после него (может потребоваться активация).
    Обновите Internet Explorer до актуальной версии (даже если не используете).
    Разумеется. Как только закончу лечение, сразу же обновлю систему и Эксплорер. Компьютер не мой - соседский .

  7. #6
    Junior Member Репутация
    Регистрация
    29.06.2010
    Сообщений
    9
    Вес репутации
    24
    Скрипт выполнил. Новые логи прилагаю.
    Вложения Вложения

  8. #7
    Junior Member Репутация
    Регистрация
    29.06.2010
    Сообщений
    9
    Вес репутации
    24
    Уважаемые знатоки, правильно ли я понимаю, что нужно удалить отовсюду следы файла 22.tmp? Нужно закончить лечение, но самодеятельностью решил не заниматься и дождаться ответа профессионалов. Ответьте, пожалуйста.

  9. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,562
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\dmitry\\wuaucldt.exe - Trojan.Win32.Pincav.ajch ( DrWEB: Trojan.DownLoader1.34060, BitDefender: Trojan.Generic.5129101, AVAST4: Win32:Malware-gen )
      2. c:\\windows\\system32\\drivers\\ndis.sys - Virus.Win32.Protector.f ( DrWEB: BackDoor.Bulknet.417, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.K virus, AVAST4: Win32:Cutwail-AP [Rtk] )


  • Уважаемый(ая) Kammerer, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Окончательная чистка после порно-баннера
      От nameIezz в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 01.08.2011, 15:01
    2. Чистка системы
      От essopit в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 27.04.2011, 06:20
    3. Требуется окончательная проверка!!!
      От vip в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 13.04.2010, 20:11
    4. Ответов: 1
      Последнее сообщение: 23.07.2009, 10:40
    5. Вышла окончательная версия GPLv3
      От ALEX(XX) в разделе Другие новости
      Ответов: 0
      Последнее сообщение: 03.07.2007, 09:15

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00995 seconds with 21 queries