Показано с 1 по 11 из 11.

Нужно убрать следы вируса-вымогателя (заявка № 93189)

  1. #1
    Junior Member Репутация
    Регистрация
    06.01.2010
    Адрес
    Калужская область
    Сообщений
    15
    Вес репутации
    26

    Thumbs up Нужно убрать следы вируса-вымогателя

    Я в командировке был. Брат работал за компом, в Инете. Говорит, выскочило окно - отправить смс и т.п. Он с перепугу комп выключил. Так он рассказал. Может быть что-то скрывает.

    А после следующих включений Эксплорер не открывает никаких страниц

    Система: Windows XP Pro. Ставил знакомый. Анитивирь купленный: ESET NOD32. Интернет получаю через ADSL. Поставил Оперу - страницы как-то открывает, но искореженные.

    При загрузке вылетает ДОС-окошко - chkntfs (это есть в автозагрузке), приветствие NOD висит, но в трее иконка не появляется (Видно на двух прицепленных картинках, что твориться при загрузке - screen1, screen2).

    Зашел в сберегающий режим, запустил CureIt, экспресс-сканирование.
    Вот результат сканирования:

    Код:
    8e29b58e.exe;C:\WINDOWS\system32;Trojan.MulDrop.64715;Неизлечим.Перемещен.;
    bc9f0d27.exe;C:\WINDOWS\system32;Trojan.MulDrop.64715;Неизлечим.Перемещен.;
    nt554D.tmp.exe;C:\WINDOWS\temp;Trojan.Packed.21164;Удален.;
    41983666-12886095\JavaUpdateManager.class;C:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\38\41983666-12886095;Java.Downloader.59;;
    41983666-12886095;C:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\38;Архив содержит инфицированные объекты;;
    jar_cache5510893516960999240.tmp\MessageManager.class;C:\Documents and Settings\Admin\Local Settings\Temp\jar_cache5510893516960999240.tmp;Exploit.Java.162;;
    jar_cache5510893516960999240.tmp;C:\Documents and Settings\Admin\Local Settings\Temp;Архив содержит инфицированные объекты;;
    e4sn1kfq2l5hr9b[1].htm;C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\IO47G8TI;Trojan.Inject.12637;Неизлечим.Перемещен.;
    e4sn1kfq2l5hr9b[1].htm;C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\P7L4H3Y5;Trojan.Inject.12637;Неизлечим.Перемещен.;
    Решил обратиться сюда. Начал с проверки системного раздела CureIt, но уже тотальное сканирование. Он сканирует-сканирует, но через какое-то время - синий экран и STOP-ошибка. Загрузился с LiveCD, ERD-коммандер. Проверил оттуда системный раздел. Нашлось ещё вирусов.
    Ну, и дальше проделал всё по "Правилам".
    Правда, когда AVZ запускал для "лечения..." забыл Эксплорер запустить. Но лог получил. Решил ещё раз это же сделать, но уже с запущенным Эксплорером. Получилось два журнала "virusinfo_syscure.zip". Не знаю, какой прицепить, прицеплю первый (который без Эксплорера).
    В принципе, сейчас все нормально (видимо, когда CureIt с LiveCD прогнал и это помогло).
    Но хочется большей уверенности, что в системе все чисто! Заранее спасибо.

    Ещё спросить хочу, стоит ли сделать "sfc /scannow"?
    Или переустановку системы?
    Изображения Изображения
    Вложения Вложения

  2. Реклама
     

  3. #2
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,521
    Вес репутации
    2915
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('c:\windows\system32\ufocqzs.exe','');
     QuarantineFile('c:\windows\system32\hskoffr.exe','');
     QuarantineFile('C:\WINDOWS\system32\wpttmwn.dll','');
     DeleteFile('C:\WINDOWS\system32\wpttmwn.dll');
     DeleteFile('c:\windows\system32\hskoffr.exe');
     DeleteFile('c:\windows\system32\ufocqzs.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteREpair(20);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи

    Сделайте лог ComboFix
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  4. #3
    Junior Member Репутация
    Регистрация
    06.01.2010
    Адрес
    Калужская область
    Сообщений
    15
    Вес репутации
    26
    Сделал всё. Правда, ночь уже и глючу ещё больше
    Нарушил порядок получения логов. Сначала скрипт выполнил. А потом нужно было стандартные 3 лога собрать, а я ComboFix запустил. Только потом стандартные логи собрал.

    Правда вот не смог найти "ссылку на страницу загрузки (Прислать запрошенный карантин) в шапке Вашей темы"

    Поэтому прицепил карантин "virus.zip" вместе с логами (самый первый).
    Извините, если не прав, готов переделать.
    Вложения Вложения
    Последний раз редактировалось olejah; 09.12.2010 в 06:29. Причина: Карантин в теме

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - Выполните скрипт в AVZ
    Код:
    begin
     DeleteFileMask('c:\program files\Common Files\23dd1a9da', '*.*', true);
     DeleteDirectory('c:\program files\Common Files\23dd1a9da');
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
     RebootWindows(true);
    end.
    что с проблемой?

  6. #5
    Junior Member Репутация
    Регистрация
    06.01.2010
    Адрес
    Калужская область
    Сообщений
    15
    Вес репутации
    26
    > что с проблемой?
    Да все вроде в порядке.
    Я просто думал, может в системе какие крючки остались. Чтобы уж до конца пролечить.

    Я не пойму, вот антивирус ESET NOD32 почему пропустил эту заразу???

  7. #6
    Junior Member Репутация
    Регистрация
    06.01.2010
    Адрес
    Калужская область
    Сообщений
    15
    Вес репутации
    26
    Цитата Сообщение от polword Посмотреть сообщение
    Выполнил.

    Как-то странно не удаляется ComboFix
    Выполнил:
    Combofix /Uninstall
    OTCleanIt + Clean up
    В папке C:\Qoobox осталась одна только папка - BackEnv.
    Но войти в нее невозможно. Система пишет, что ее кто-то держит.
    Вложения Вложения

  8. #7
    Junior Member Репутация
    Регистрация
    06.01.2010
    Адрес
    Калужская область
    Сообщений
    15
    Вес репутации
    26
    Может быть подскажете, почему нельзя удалить C:\Qoobox\BackEnv?

    И почему ESET NOD32 пропустил вирус?

    Добавлено через 5 часов 14 минут

    Цитата Сообщение от kryukov Посмотреть сообщение
    Может быть подскажете, почему нельзя удалить C:\Qoobox\BackEnv?

    И почему ESET NOD32 пропустил вирус?
    Похоже я сам решил эти вопросы.
    BackEnv я удалил прогой Unlocker. Правда, не знаю, может чревато. Но бэкап системного раздела имеется.
    По второй теме. У меня Винда не обновляется. В такой ситуации NOD32 тоже видать бессилен. Сам предупредил, что обновление отключено и карсным цветом покрасился - берегись,мол.
    Последний раз редактировалось kryukov; 10.12.2010 в 09:11. Причина: Добавлено

  9. #8
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,521
    Вес репутации
    2915
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  10. #9
    Junior Member Репутация
    Регистрация
    06.01.2010
    Адрес
    Калужская область
    Сообщений
    15
    Вес репутации
    26
    Цитата Сообщение от thyrex Посмотреть сообщение
    Сделал.
    Что делать с найденными зловредами?
    Можно удалить саму прогу МВАМ с компа?
    Вложения Вложения

  11. #10
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,521
    Вес репутации
    2915
    Ничего подозрительного

    Добавлено через 13 секунд

    МВАМ можно удалить
    Последний раз редактировалось thyrex; 10.12.2010 в 16:30. Причина: Добавлено
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  12. #11
    Junior Member Репутация
    Регистрация
    06.01.2010
    Адрес
    Калужская область
    Сообщений
    15
    Вес репутации
    26
    Спасибо за помощь!!!

  • Уважаемый(ая) kryukov, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. возможно следы вируса
      От Олгонка в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 14.10.2010, 21:09
    2. Как убрать следы трояна 3381
      От Trillian в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.05.2010, 16:29
    3. Следы после вируса
      От pupupupkin в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 23.01.2010, 19:03
    4. Ответов: 2
      Последнее сообщение: 26.11.2009, 22:39
    5. посмотрите что нужно убрать из лога hijackthis
      От fotorama в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 24.04.2007, 15:06

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01150 seconds with 21 queries