Показано с 1 по 5 из 5.

!HELP - не могу найти вирус (заявка № 93526)

  1. #1
    Junior Member Репутация
    Регистрация
    23.11.2010
    Сообщений
    2
    Вес репутации
    23

    Thumbs up !HELP - не могу найти вирус

    Через IE подхватил вымогателя
    удалил его с помощью DRWEB CureIT

    C:\DOCUME~1\prof\LOCALS~1\Temp\smss.exe инфицирован Trojan.MulDrop1.53621 - неизлечим - перемещен
    C:\Documents and Settings\prof\Local Settings\Temporary Internet Files\Content.IE5\D177LTGB\123[1].exe инфицирован Trojan.MulDrop1.53621 - неизлечим - удален


    Затем еще раз прошел касперским

    Удалено троянская программа Backdoor.Win32.Spammy.fb C:\System Volume Information\_restore{EBD96A98-0BE2-4D89-BDB3-7EB3A238E5E0}\RP376\A0044217.exe 24.11.2010 18:45:36
    Удалено троянская программа Trojan-Downloader.Win32.Piker.cxa C:\System Volume Information\_restore{EBD96A98-0BE2-4D89-BDB3-7EB3A238E5E0}\RP376\A0044229.exe 24.11.2010 19:30:09
    Удалено троянская программа Backdoor.Win32.Lavandos.c C:\Program Files\Internet Explorer\setupapi.dll 10.12.2010 16:01:08
    Удалено троянская программа Backdoor.Win32.Lavandos.c C:\Program Files\Mozilla Firefox\setupapi.dll 10.12.2010 16:27:19
    Удалено троянская программа Backdoor.Win32.Lavandos.c C:\Program Files\Opera\setupapi.dll 10.12.2010 16:27:22


    Все равно при обращении в интернет даже через telnet каспер блокирует запросы:

    14.12.2010 7:03:45 URL-адрес: zindrat.com/dup/page.php?session=unknown&n=a2&article=rnd&do=3D369 42A3A410435&lr=0 База подозрительных веб-адресов: обнаружено
    14.12.2010 7:04:20 URL-адрес: zindrat.com/dup/page.php?key=3D36942A3A410435&n=index&do=0&article =a7 База подозрительных веб-адресов: доступ заблокирован
    14.12.2010 7:04:20 URL-адрес: zindrat.com/dup/page.php?client=a2&uid=a7&lr=3D36942A3A410435&link =0&cookie=a3&do=a6&query=a5 База подозрительных веб-адресов: доступ заблокирован

    после заражения долго открывается папки,
    зависает WORD через 3-5 сек после открытия
    и какая то прога постоянно ломится в интернет которую блокирует каспер (писал выше)
    Вложения Вложения
    Последний раз редактировалось olejah; 14.12.2010 в 11:15. Причина: Активные, опасные ссылки деактивированы

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    Сами прописывали? Если нет, профиксите в HijackThis
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 10.7.19.23:3128
    1.Профиксите в HijackThis
    Код:
    R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
    R3 - URLSearchHook: (no name) - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file)
    R3 - URLSearchHook: (no name) -  - (no file)
    O9 - Extra button: (no name) - AutorunsDisabled - (no file) (HKCU)
    2.Отключите Системное восстановление!!! как- посмотреть можно тут
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     QuarantineFile('\\server\NETLOGON\update.Lnk','');
     QuarantineFile('D:\SMS\sms\SMS_Sender.exe','');
     if FileExists ('%windir%\system32\sfcfiles.dll') then
       begin
        if CheckFile('%windir%\system32\sfcfiles.dll')=3 then
           begin
             QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
             QuarantineFile('%windir%\system32\sfcfiles.dll','');
             QuarantineFile('%windir%\system32\mssfc.dll','');
             DeleteFile('%windir%\system32\drivers\sfc.sys');
             DeleteFile('%windir%\system32\mssfc.dll');
             AddToLog('%windir%\system32\sfcfiles.dll прошел по базе безопасных');
           end
          else
           begin
             AddToLog('%windir%\system32\sfcfiles.dll не прошел по базе безопасных');
             QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
             QuarantineFile('%windir%\system32\sfcfiles.dll','');
             QuarantineFile('%windir%\system32\mssfc.dll','');
             DeleteFile('%windir%\system32\drivers\sfc.sys');
             DeleteFile('%windir%\system32\mssfc.dll');
             RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
             if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then
               begin
                if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
                  begin
                   CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
                   AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
                  end
                 else
                  begin
                   AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных');
                   SaveLog('sfcfiles.log');
                   if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
                     begin
                      if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
                        begin
                         CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
                         AddToLog('Замена sfcfiles.dll успешно произведена из i386');
                        end
                       else
                        begin
                         AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
                        end;
                     end
                    else
                     begin
                      AddToLog('Файл sfcfiles.dll отсутствует в i386');
                     end;
                  end;
               end
              else
               begin
                AddToLog('Файл sfcfiles.dll отсутствует в кеше');
                if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
                  begin
                   if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
                     begin
                      CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
                      AddToLog('Замена sfcfiles.dll успешно произведена из i386');
                     end
                   else
                    begin
                      AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
                    end;
                  end
                 else
                  begin
                   AddToLog('Файл sfcfiles.dll отсутствует в i386');
                  end;
               end;
             DeleteFile('%windir%\system32\sfcfiles.bak');
           end;
       end
      else
       begin
         AddToLog('файл sfcfiles.dll отсутствует в  %windir%\system32\');
         QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
         QuarantineFile('%windir%\system32\mssfc.dll','');
         DeleteFile('%windir%\system32\drivers\sfc.sys');
         DeleteFile('%windir%\system32\mssfc.dll');
         if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then
           begin
            if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
              begin
               CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
               AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
              end
             else
              begin
               AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных');
               SaveLog('sfcfiles.log');
               if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
                 begin
                  if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
                    begin
                     CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
                     AddToLog('Замена sfcfiles.dll успешно произведена из i386');
                    end
                   else
                    begin
                     AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
                    end;
                 end
                else
                 begin
                  AddToLog('Файл sfcfiles.dll отсутствует в i386');
                 end;
              end;
           end
          else
           begin
            AddToLog('Файл sfcfiles.dll отсутствует в кеше');
            SaveLog('sfcfiles.log');
            if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
              begin
               if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
                 begin
                  CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
                  AddToLog('Замена sfcfiles.dll успешно произведена из i386');
                 end
               else
                begin
                  AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
                end;
              end
             else
              begin
               AddToLog('Файл sfcfiles.dll отсутствует в i386');
              end;
           end;
         DeleteFile('%windir%\system32\sfcfiles.bak');
       end;
     SaveLog('sfcfiles.log');
     BC_ImportALL;
     ExecuteSysClean;
     BC_DeleteFile('%windir%\System32\sfcfiles.bak');
     BC_DeleteSvc('sfc');
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
    - файл sfcfiles.log прикрепите к сообщению

  4. #3
    Junior Member Репутация
    Регистрация
    23.11.2010
    Сообщений
    2
    Вес репутации
    23
    Карантин отправил
    правильный второй файл (quarantine.zip - 22b)
    первый упаковал сам , потом только увидел скрипт

    после выполнения скрипта и перегрузок
    копм стал работать заметно быстрее

    СПАСИБО.

    для проверки отправляю логи.
    Вложения Вложения

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    Обновите систему
    - Установите Internet-Explorer 8.(даже если Вы его не используете)
    - Поставте все последние обновления системы Windows - тут
    - Обновите Java .

  6. #5
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,525
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 0
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) RusF, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Вирус,не могу найти
      От Булат Сабитов в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 18.06.2012, 12:37
    2. не могу найти вирус
      От chimzar в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 30.10.2010, 18:46
    3. не могу найти вирус
      От Meat в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 27.04.2010, 18:15
    4. Не могу найти вирус
      От Grimich в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 27.03.2009, 12:34
    5. Не могу найти вирус !!!
      От zvn в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 14.08.2008, 18:36

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01056 seconds with 21 queries