вирусы

Printable View

19.05.2011, 13:40
Darky

вирусы

помогите постоянно лезут вирусы
19.05.2011, 13:41
Info_bot

Уважаемый(ая) [B]Darky[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/donate/"]поддержите проект[/URL].
19.05.2011, 14:06
polword

1.[URL="http://virusinfo.info/showthread.php?t=4491"]Профиксите[/URL] в HijackThis
[CODE]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
[/CODE]
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
procedure WhatService(AServiceName : string);
var
dllname, servicekey : string;
begin
servicekey := 'SYSTEM\CurrentControlSet\Services\'+AServiceName;
RegKeyResetSecurity( 'HKLM', servicekey);
RegKeyResetSecurity( 'HKLM', servicekey+'\Parameters');
AddToLog('Description: '+RegKeyStrParamRead( 'HKLM', servicekey, 'Description'));
AddToLog('DisplayName: '+RegKeyStrParamRead( 'HKLM', servicekey, 'DisplayName'));
AddToLog('ImagePath: '+RegKeyStrParamRead( 'HKLM', servicekey, 'ImagePath'));
dllname := RegKeyStrParamRead( 'HKLM', servicekey+'\Parameters', 'ServiceDll');
AddToLog('ServiceDll: '+dllname);
QuarantineFile(dllname,'');
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
WhatService('abcropa');
WhatService('abooxkfdb');
WhatService('agrkbr');
WhatService('ailclb');
WhatService('aqwgbv');
WhatService('bvkqbr');
WhatService('cgrgkd');
WhatService('cpvqxltk');
WhatService('cugnu');
WhatService('cvfrqvjas');
WhatService('dhfiiubum');
WhatService('dqjeqlhg');
WhatService('egldtnjet');
WhatService('ffufgui');
WhatService('fjprdq');
WhatService('fmbupaz');
WhatService('gohonhlw');
WhatService('gptvvv');
WhatService('grwuu');
WhatService('gwgii');
WhatService('gywlps');
WhatService('hgrlzgyp');
WhatService('hmksys');
WhatService('jcytcrif');
WhatService('jtrmyhepr');
WhatService('kboquy');
WhatService('kkvfvxn');
WhatService('knrjgzk');
WhatService('kqxilq');
WhatService('krwympdw');
WhatService('leqojc');
WhatService('lfddz');
WhatService('lwhgwnok');
WhatService('mduyhwgsa');
WhatService('mgyyfe');
WhatService('nhaux');
WhatService('pfrmryasa');
WhatService('pfwjfe');
WhatService('pqjsiai');
WhatService('qdsayuk');
WhatService('qjkzamp');
WhatService('quvdlwi');
WhatService('qwbrczsh');
WhatService('rhqjlmn');
WhatService('rrmrylo');
WhatService('swcqqm');
WhatService('ulxbqme');
WhatService('urwlce');
WhatService('wcinruof');
WhatService('wjljnelry');
WhatService('wnltryle');
WhatService('wwuhvnetl');
WhatService('xkwqchb');
WhatService('xnjvfltl');
WhatService('yesql');
WhatService('ylxsatm');
WhatService('zmcctegxu');
WhatService('znjnbrz');
WhatService('zoedw');
QuarantineFile('C:\windows\system32\75.exe','');
QuarantineFile('C:\windows\system32\10.exe','');
QuarantineFile('C:\windows\system32\07.exe','');
DeleteFile('C:\windows\system32\07.exe');
DeleteFile('C:\windows\system32\10.exe');
DeleteFile('C:\windows\system32\16.exe');
DeleteFile('C:\windows\system32\75.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
BC_Activate;
SaveLog(GetAVZDirectory+'abcropa.log');
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- файл [COLOR="Blue"][B]abcropa.log[/B][/COLOR] прикрепите к сообщению

Обновите систему
- SP2 обновите до [URL="http://www.microsoft.com/Downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4"]Service Pack 3[/URL](может потребоваться активация)
[B]*[/B] Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
[B]*[/B] Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.[URL="http://windows.microsoft.com/ru-ru/windows/help/end-support-windows-xp-sp2-windows-vista-without-service-packs?os=xp"]тут[/URL]
- Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet-Explorer 8[/URL].(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]

После обновления:
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscheck.zip;hijackthis.log[/COLOR])
- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]
19.05.2011, 21:19
Darky

скрипты выполнили
SP 3 не ставится почему то
20.05.2011, 05:00
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then
begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then
begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_ServiceKill('abcropa');
BC_ServiceKill('abooxkfdb');
BC_ServiceKill('agrkbr');
BC_ServiceKill('ailclb');
BC_ServiceKill('aqwgbv');
BC_ServiceKill('bvkqbr');
BC_ServiceKill('cgrgkd');
BC_ServiceKill('cpvqxltk');
BC_ServiceKill('cugnu');
BC_ServiceKill('cvfrqvjas');
BC_ServiceKill('dhfiiubum');
BC_ServiceKill('dqjeqlhg');
BC_ServiceKill('egldtnjet');
BC_ServiceKill('ffufgui');
BC_ServiceKill('fjprdq');
BC_ServiceKill('fmbupaz');
BC_ServiceKill('gohonhlw');
BC_ServiceKill('gptvvv');
BC_ServiceKill('grwuu');
BC_ServiceKill('gwgii');
BC_ServiceKill('gywlps');
BC_ServiceKill('hgrlzgyp');
BC_ServiceKill('hmksys');
BC_ServiceKill('jcytcrif');
BC_ServiceKill('jtrmyhepr');
BC_ServiceKill('kboquy');
BC_ServiceKill('kkvfvxn');
BC_ServiceKill('knrjgzk');
BC_ServiceKill('kqxilq');
BC_ServiceKill('krwympdw');
BC_ServiceKill('leqojc');
BC_ServiceKill('lfddz');
BC_ServiceKill('lwhgwnok');
BC_ServiceKill('mduyhwgsa');
BC_ServiceKill('mgyyfe');
BC_ServiceKill('nhaux');
BC_ServiceKill('pfrmryasa');
BC_ServiceKill('pfwjfe');
BC_ServiceKill('pqjsiai');
BC_ServiceKill('qdsayuk');
BC_ServiceKill('qjkzamp');
BC_ServiceKill('quvdlwi');
BC_ServiceKill('qwbrczsh');
BC_ServiceKill('rhqjlmn');
BC_ServiceKill('rrmrylo');
BC_ServiceKill('swcqqm');
BC_ServiceKill('ulxbqme');
BC_ServiceKill('urwlce');
BC_ServiceKill('wcinruof');
BC_ServiceKill('wjljnelry');
BC_ServiceKill('wnltryle');
BC_ServiceKill('wwuhvnetl');
BC_ServiceKill('xkwqchb');
BC_ServiceKill('xnjvfltl');
BC_ServiceKill('yesql');
BC_ServiceKill('ylxsatm');
BC_ServiceKill('zmcctegxu');
BC_ServiceKill('znjnbrz');
BC_ServiceKill('zoedw');
QuarantineFile('C:\windows\aadrive32.exe','');
QuarantineFile('C:\windows\system32\dn.exe','');
QuarantineFile('C:\windows\system32\82.exe','');
QuarantineFile('C:\windows\system32\75.exe','');
QuarantineFile('C:\windows\system32\62.exe','');
QuarantineFile('C:\windows\system32\35.exe','');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
QuarantineFile('C:\windows\winlogin.exe','');
QuarantineFile('C:\Documents and Settings\Vladimir\Application Data\Vvdfda.exe','');
QuarantineFile('c:\windows\aadrive32.exe','');
TerminateProcessByName('c:\windows\aadrive32.exe');
DeleteFile('c:\windows\aadrive32.exe');
DeleteFile('C:\Documents and Settings\Vladimir\Application Data\Vvdfda.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Vvdfda');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
DeleteFile('C:\windows\system32\13.exe');
DeleteFile('C:\windows\system32\15.exe');
DeleteFile('C:\windows\system32\30.exe');
DeleteFile('C:\windows\system32\35.exe');
DeleteFile('C:\windows\system32\62.exe');
DeleteFile('C:\windows\system32\75.exe');
DeleteFile('C:\windows\system32\dn.exe');
DeleteFile('C:\windows\aadrive32.exe');
DeleteFile('C:\windows\winlogin.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы

- [URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]удалите[/URL] в [B]MBAM[/B] все оставшееся из этого
[CODE]
Заражённые процессы в памяти:
c:\WINDOWS\winlogin.exe (Trojan.Agent.Gen) -> 3840 -> No action taken.
c:\WINDOWS\aadrive32.exe (Malware.Gen) -> 3864 -> No action taken.

Заражённые ключи в реестре:
HKEY_CLASSES_ROOT\CLSID\{BF56A325-23F2-42AD-F4E4-00AAC39CAA53} (Trojan.Ertfor) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{BF56A325-23F2-42AD-F4E4-00AAC39CAA53} (Trojan.Ertfor) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{BF56A325-23F2-42AD-F4E4-00AAC39CAA53} (Trojan.Ertfor) -> No action taken.
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogo2 (Trojan.Agent) -> No action taken.

Заражённые параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows (Trojan.Agent.Gen) -> Value: Windows -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Driver Setup (Malware.Gen) -> Value: Microsoft Driver Setup -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Microsoft Driver Setup (Malware.Gen) -> Value: Microsoft Driver Setup -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Vvdfda (Malware.Gen) -> Value: Vvdfda -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\idstrf (Malware.Trace) -> Value: idstrf -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\WINID (Malware.Trace) -> Value: WINID -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Value: option_1 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Value: option_2 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Value: option_3 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Trojan.Agent) -> Value: Taskman -> No action taken.

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Malware.Gen) -> Bad: (c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe) Good: () -> No action taken.

Заражённые папки:
c:\program files\microsoft common (Trojan.Agent) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> No action taken.

Заражённые файлы:
c:\WINDOWS\winlogin.exe (Trojan.Agent.Gen) -> No action taken.
c:\WINDOWS\aadrive32.exe (Malware.Gen) -> No action taken.
c:\documents and settings\vladimir\application data\vvdfda.exe (Malware.Gen) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe (Malware.Gen) -> No action taken.
c:\documents and settings\localservice\local settings\temporary internet files\Content.IE5\R1W972L7\logo[1].gif (Extension.Mismatch) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\DY8V9F1N\o[1].exe (Malware.Gen) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\KH45JBR9\ifircx[1].gif (Extension.Mismatch) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\SP634X2Z\o[1].exe (Malware.Gen) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\SP634X2Z\yxtvthr[1].bmp (Extension.Mismatch) -> No action taken.
c:\documents and settings\Vladimir\dgjdd.exe (Malware.Gen) -> No action taken.
c:\documents and settings\Vladimir\application data\C.tmp (Malware.Gen) -> No action taken.
c:\documents and settings\Vladimir\local settings\temporary internet files\Content.IE5\WJNJNUEG\ng2[1].exe (Malware.Gen) -> No action taken.
c:\WINDOWS\system32\13.exe (Malware.Gen) -> No action taken.
c:\WINDOWS\system32\15.exe (Malware.Gen) -> No action taken.
c:\WINDOWS\system32\21.exe (Malware.Gen) -> No action taken.
c:\WINDOWS\system32\30.exe (Malware.Gen) -> No action taken.
c:\WINDOWS\system32\35.exe (Malware.Gen) -> No action taken.
c:\WINDOWS\system32\36.exe (Malware.Gen) -> No action taken.
c:\WINDOWS\system32\62.exe (Malware.Gen) -> No action taken.
c:\WINDOWS\system32\75.exe (Malware.Gen) -> No action taken.
c:\WINDOWS\system32\82.exe (Malware.Gen) -> No action taken.
c:\WINDOWS\system32\dn.exe (Trojan.Agent.Gen) -> No action taken.
c:\program files\common files\keylog.txt (Malware.Trace) -> No action taken.
c:\WINDOWS\Help\kfdtk.chm (Malware.Trace) -> No action taken.
c:\WINDOWS\nigzss.txt (Malware.Trace) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Worm.AutoRun.Gen) -> No action taken.
[/CODE]

вот это сделайте
[QUOTE=polword;790903]
Обновите систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
* Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.тут
- Поставте все последние обновления системы Windows - тут
[/QUOTE]

- Сделайте повторные логи по [URL="http://virusinfo.info/pravila.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscheck.zip;hijackthis.log[/COLOR])
- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]
21.05.2011, 05:00
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]151[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\dn.exe - [B]Worm.Win32.AutoRun.cjdz[/B] ( DrWEB: BackDoor.IRC.Sdbot.15798, BitDefender: Trojan.Generic.KDV.229092, AVAST4: Win32:Kryptik-COT [Trj] )[*] c:\\windows\\winlogin.exe - [B]Worm.Win32.AutoRun.cjdz[/B] ( DrWEB: BackDoor.IRC.Sdbot.15798, BitDefender: Trojan.Generic.KDV.229092, AVAST4: Win32:Kryptik-COT [Trj] )[/LIST][/LIST]