-
Junior Member
- Вес репутации
- 50
проблема с вирусами (не дают лечить)
Проблема в следующем :
у меня на компьютере сначала появился вирус типа "456456.ехе" после чего появился " mcmiode.exe " как только появился последний попытался предпринять сразу попытки удалить. и они сразу увенчались провалом.
Дело в том что я сначала пытался проверить комп и очистить курейтом. проверил он нашел удалил что нашел но после перезагрузки все заново появляется потом попытался запустить AV tool , AVZ , hijackthis, ComboFix они не запускаются не в какую. я пытался в безопасном режиме таже самая проблема. Просто не запускаются или начинают висеть в процессах и потом закрываются. Сайты с антивирусами тоже блокированы не могу на них попасть. так же начались проблемы с Интернетом стали выскакивать ошибки Win32 и интернет гас. Участились проблемы с експлоером рабочий стол то виснет то вообще не грузится. Восстановление системы тоже не помогает. Как мне быть ... не могу собрать информацию что бы повесть здесь и запустить что либо как быть ? Помогите пожалуйста
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Попробуйте так:
Скачайте в отдельную папку:
http://gjf.hotbox.ru/mink.pif
В этой же папке создайте в блокноте текстовый файл с такой строкой:
Сохраните файл, переименуйте его в mink.bat и запустите.
Если AVZ запустился, сделайте только пункт 2 раздела "Диагностика" правил и приложите здесь virusinfo_syscheck.zip.
(если позже понадобится закрыть AVZ: меню "AVZGuard" - Отключить AVZGuard, затем, через несколько секунд, меню "Файл" - Выход)
-
-
Junior Member
- Вес репутации
- 50
Вот сделал как вы сказали получи лилось собрать какую то информацию не знаю достаточно ли ее будет
Последний раз редактировалось birtrek; 22.12.2010 в 09:42.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\38.exe','');
QuarantineFile('C:\WINDOWS\system32\35.exe','');
QuarantineFile('C:\WINDOWS\system32\21.exe','');
QuarantineFile('C:\WINDOWS\system32\bkiazt.exe','');
QuarantineFile('C:\Documents and Settings\Вася\Application Data\ltzqai.exe','');
TerminateProcessByName('c:\windows\system32\msvmiode.exe');
QuarantineFile('c:\windows\system32\msvmiode.exe','');
TerminateProcessByName('c:\docume~1\7605~1\locals~1\temp\37217.exe');
QuarantineFile('c:\docume~1\7605~1\locals~1\temp\37217.exe','');
TerminateProcessByName('c:\docume~1\7605~1\locals~1\temp\063.exe');
QuarantineFile('c:\docume~1\7605~1\locals~1\temp\063.exe','');
DeleteFile('c:\docume~1\7605~1\locals~1\temp\063.exe');
DeleteFile('c:\docume~1\7605~1\locals~1\temp\37217.exe');
DeleteFile('c:\windows\system32\msvmiode.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Advanced DHTML Enable');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Advanced DDTML Enable');
DeleteFile('C:\Documents and Settings\Вася\Application Data\ltzqai.exe');
DeleteFile('C:\WINDOWS\system32\bkiazt.exe');
DeleteFile('explorer.exe,C:\Documents and Settings\Вася\Application Data\ltzqai.exe');
DeleteFile('C:\WINDOWS\system32\21.exe');
DeleteFile('C:\WINDOWS\system32\35.exe');
DeleteFile('C:\WINDOWS\system32\38.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(20);
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Вот логи ... я сделал как вы сказали по правилу номер 3 загрузил туда файл virusinfo_syscheck.zip
Последний раз редактировалось birtrek; 22.12.2010 в 09:42.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\62.scr','');
QuarantineFile('C:\WINDOWS\system32\57.scr','');
QuarantineFile('C:\WINDOWS\system32\56.scr','');
QuarantineFile('C:\WINDOWS\system32\23.scr','');
QuarantineFile('C:\WINDOWS\system32\10.scr','');
QuarantineFile('C:\Qoobox\Quarantine\C\WINDOWS\system32\_ibrrog_.dll.zip','');
QuarantineFile('C:\WINDOWS\system32\dllcache\inetres.dll','');
QuarantineFile('C:\WINDOWS\system32\inetres.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\sysdrv32.sys','');
TerminateProcessByName('c:\windows\system\lsass.exe');
QuarantineFile('c:\windows\system\lsass.exe','');
DeleteFile('c:\windows\system\lsass.exe');
DeleteFile('C:\WINDOWS\system32\drivers\sysdrv32.sys');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','lsass');
DeleteFile('C:\WINDOWS\system32\10.scr');
DeleteFile('C:\WINDOWS\system32\23.scr');
DeleteFile('C:\WINDOWS\system32\56.scr');
DeleteFile('C:\WINDOWS\system32\57.scr');
DeleteFile('C:\WINDOWS\system32\62.scr');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сохраните текст ниже как cleanup.bat в ту же папку, где находится r6pd01ep.exe (gmer)
Код:
r6pd01ep.exe -del service qotpixr
r6pd01ep.exe -del file "C:\WINDOWS\system32\ibrrog.dll"
r6pd01ep.exe -del file "C:\WINDOWS\system32\dllcache\chkntfs.exe"
r6pd01ep.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\qotpixr"
r6pd01ep.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\qotpixr"
r6pd01ep.exe -reboot
И запустите cleanup.bat.
Компьютер перезагрузится!
Сделать новый лог gmer.
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Предоставляю вам лги и файл который карантин отослал и поставил пароль.
Последний раз редактировалось birtrek; 23.12.2010 в 01:07.
-
Версия Windows: 5.1.2600,
Service Pack 2
Надо срочно обновлять систему ибо все осталось на месте
Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена
Установите SP3 (может потребоваться активация) + все новые обновления для Windows
Прочтите и выполните http://support.kaspersky.ru/kis2009/error?qid=208636215
Сделайте лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Сказано сделано. поставил СП3. через обновление.и все что к нему прилогаеться. сделал все что сказано по ссылке . внизу логи.
Последний раз редактировалось birtrek; 23.12.2010 в 01:07.
-
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\windows\system32\Hьbґи0RЂ¬ыbґ
c:\windows\system32\T“v
c:\windows\system32\ibrrog.dll
Driver::
leiha
NetSvc::
qotpixr
leiha
Folder::
c:\program files\Common Files\D0534F10a
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4550:TCP"=-
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\leiha]
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
-
-
Junior Member
- Вес репутации
- 50
Лог после выполнения скрипта
Последний раз редактировалось birtrek; 23.12.2010 в 01:07.
-
В логе подозрительного нет.
Что с проблемой?
-
-
Junior Member
- Вес репутации
- 50
Проблемы тоже больше нет. Не чего подозрительного не замечаю. Спасибо большое.
посоветуйте пожалуйста какой нибудъ Антивир что бы не слишком грузил систему
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\\qoobox\\quarantine\\c\\windows\\system32\\_ibr rog_.dll.zip - Net-Worm.Win32.Kido.ih ( DrWEB: archive: Win32.HLLW.Shadow.based, BitDefender: Worm.Generic.75461 )
- c:\\windows\\system32\\00.scr - Net-Worm.Win32.Kolab.chx ( DrWEB: BackDoor.IRC.Sdbot.3762, BitDefender: Backdoor.SDBot.DGBA, NOD32: Win32/IRCBot.ANC trojan, AVAST4: Win32:Inject-XW [Trj] )
- c:\\windows\\system32\\64.scr - Net-Worm.Win32.Kolab.chx ( DrWEB: BackDoor.IRC.Sdbot.3762, BitDefender: Backdoor.SDBot.DGBA, NOD32: Win32/IRCBot.ANC trojan, AVAST4: Win32:Inject-XW [Trj] )
-