-
Junior Member
- Вес репутации
- 49
Закрывается Opera.exe
Добрый день!
Помогите пожалуйста справится с вирусом. Симптомы такие:
Под пользователем Admin окно Оперы запускается и через несколько секунд закрывается само собой, даже если в диалоге запуска оперы ничего не выбирать. Под пользователем Гость такого не происходит. Проверяли Avira, dr.Web Live CD, AVP Virus Removal Tool. Opera версии 11.01. Переустановка оперы не помогает.
Файлы сканирования системы согласно правилам оформления в этой ветке прилагаются.
Видел на форуме у кого то были подобные проблемы, но там полечили удалением пользователя, мы так сделать не можем по политическим причинам. Помогите пожалуйста!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Добрый день!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\UJP.exe','');
QuarantineFile('C:\WINDOWS\system32\XP-CC4AE88A.EXE','');
DeleteFile('C:\WINDOWS\system32\XP-CC4AE88A.EXE');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','XP-CC4AE88A');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Сделайте лог Гмер
-
-
Junior Member
- Вес репутации
- 49
Карантин прислал, но там файлов нет, машина перегружалась. Не нужно было перегружать? Gmer при полном сканировании вызывает ошибку "Память не может быть read....." и завершается. лог неполного сканирования прилагается, похоже какая то гадость замаскировалась под svchost.exe
-
Junior Member
- Вес репутации
- 49
Еще момент заметил, при одной из полных проверок машина свалилась в синий экран и в синем экране было упоминание об fltMgr.sys, который упоминается в отчете Gmer. Возможно он инфицирован
Добавлено через 13 минут
При сканировании в секции Autostart в программе gmer так же система свалилась в синий экран, без указания причины.
Последний раз редактировалось Drag0n; 16.02.2011 в 11:50.
Причина: Добавлено
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 49
-
Забавные животные на Рабочем столе! - эту программу сами устанавливали?
Пофиксите в hijack
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\windows\system32\rbtbhqck.dll
c:\docume~1\Admin\LOCALS~1\Temp\UJP.exe
Driver::
eewrte
UJP
NetSvc::
eewrte
Folder::
Registry::
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 49
Не вкурсе кто ставил забавные животные, это комп начальника, который его принес от еще большего начальника А он того домашний, так что спросить проблематично.
Лог прилагаю.
-
Выполните скрипт в AVZ
Код:
begin
DeleteFile('C:\Program Files\VPets\VPets.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','VPetsPlayer');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','GEST');
DeleteFileMask('C:\Program Files\VPets', '*.*', true);
DeleteDirectory('C:\Program Files\VPets');
DeleteFileMask('C:\VPets', '*.*', true);
DeleteDirectory('C:VPets');
DeleteFileMask('D:\VPets', '*.*', true);
DeleteDirectory('D:VPets');
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.
Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 49
Поведение такое же, закрывается. Если появившийся диалог открытия мышкой за заголовок окна носить, не закрывается, стоит отпустить, закрывается.
А что со скрытым svchost с eewrte? Он не удалился, gmer на него ругается.
Кэш оперы или куки не могут влиять на поведение? Мне тут человек в личку посоветовал Opera Password Recovery для удаления всего. Или на єтапе открытия диалога запуска до кэша дело не доходит?
-
Установите все новые обновления для Windows
Выполните еще раз скрипт для ComboFix из сообщения №7
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 49
Обновления установлены почти все. Критических неустановленных нет. Мне кажется что этот сервис не удаляется ComboFix'ом. Уже два раза запускал скрипт
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 49
Все таки сервис удалился и Gmer ничего не выдает теперь. На полной проверке все так же вылетает. Однако поведение оперы такое же. Попробую kk.exe по ссылке, отпишусь
-
Junior Member
- Вес репутации
- 49
Net-Worm.Win32.Kido removing tool, Kaspersky Lab 2010
version 3.4.14 Mar 19 2010 10:17:17
scanning jobs ...
scanning processes ...
scanning threads ...
scanning modules in svchost.exe...
scanning modules in services.exe...
scanning modules in explorer.exe...
scanning C:\WINDOWS\system32 ...
scanning C:\Program Files\Internet Explorer\ ...
scanning C:\Program Files\Movie Maker\ ...
scanning C:\Program Files\Windows Media Player\ ...
scanning C:\Program Files\Windows NT\ ...
scanning C:\Documents and Settings\Admin\Application Data ...
scanning C:\DOCUME~1\Admin\LOCALS~1\Temp\ ...
scanning Flash drives ...
completed
Infected jobs: 0
Infected files: 0
Infected threads: 0
Spliced functions: 0
Cured files: 0
Fixed registry keys: 0
Для продолжения нажмите любую клавишу . . .
Ничего не нашлось...
Добавлено через 53 минуты
Переустановили оперу, почистив перед установкой реестр и все заработало! Получается какой то глюк был в самой опере, версия 11.01.
Всем спасибо за помощь!
Последний раз редактировалось Drag0n; 17.02.2011 в 11:40.
Причина: Добавлено
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения вредоносные программы в карантинах не обнаружены
-