Помогите излечиться, вирус скрывает папки, делает ярлыки их с путем запуска вируса!
Printable View
Помогите излечиться, вирус скрывает папки, делает ярлыки их с путем запуска вируса!
Уважаемый(ая) [B]siv21102[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/donate/"]поддержите проект[/URL].
Установите все обновления безопасности, вышедшие после Service Pack 3:
[url]http://windowsupdate.microsoft.com/[/url]
Выполните скрипт в AVZ [URL="http://virusinfo.info/showthread.php?t=7239"](как выполнить)[/URL]:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\aadrive32.exe');
QuarantineFile('C:\Documents and Settings\Администратор\serv.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\pfs.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\ms.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\hddd.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\djd.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\bn.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\bnet.exe','');
QuarantineFile('C:\WINDOWS\system32\61.exe','');
QuarantineFile('C:\WINDOWS\system32\22.exe','');
QuarantineFile('C:\WINDOWS\system32\00.exe','');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
QuarantineFile('C:\WINDOWS\aadrive32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0543359110-2143439226-823143463-3020\csisf.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1417\systm.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\bowcav.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe,C:\RECYCLER\S-1-5-21-7282656561-6370246831-053998968-7806\winmap.exe,C:\RECYCLER\S-1-5-21-1284913896-5755593003-857191488-3978\winmap.exe,C:\RECYCLER\S-1-5-21-7381379535-2602855335-696786892-3510\winmap.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1417\systm.exe,C:\RECYCLER\S-1-5-21-5613309223-0492041955-364057421-3961\winmap.exe,C:\RECYCLER\S-1-5-21-2879842076-0229803703-611905757-8116\winmap.exe,C:\RECYCLER\S-1-5-21-5711662043-0114306750-122222562-1699\winmap.exe,explorer.exe,C:\Documents and Settings\Администратор\Application Data\oekx.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Thdgdz.exe','');
QuarantineFile('c:\vkontaktedj\vkontaktedj.exe','');
QuarantineFile('e:\autorun.exe','');
QuarantineFile('c:\windows\aadrive32.exe','');
DeleteFile('c:\windows\aadrive32.exe');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Thdgdz.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Thdgdz');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\bowcav.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe,C:\RECYCLER\S-1-5-21-7282656561-6370246831-053998968-7806\winmap.exe,C:\RECYCLER\S-1-5-21-1284913896-5755593003-857191488-3978\winmap.exe,C:\RECYCLER\S-1-5-21-7381379535-2602855335-696786892-3510\winmap.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1417\systm.exe,C:\RECYCLER\S-1-5-21-5613309223-0492041955-364057421-3961\winmap.exe,C:\RECYCLER\S-1-5-21-2879842076-0229803703-611905757-8116\winmap.exe,C:\RECYCLER\S-1-5-21-5711662043-0114306750-122222562-1699\winmap.exe,explorer.exe,C:\Documents and Settings\Администратор\Application Data\oekx.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1417\systm.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnawy');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
DeleteFile('C:\RECYCLER\S-1-5-21-0543359110-2143439226-823143463-3020\csisf.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Shell');
DeleteFile('C:\WINDOWS\aadrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
DeleteFile('C:\WINDOWS\system32\00.exe');
DeleteFile('C:\WINDOWS\system32\01.exe');
DeleteFile('C:\WINDOWS\system32\02.exe');
DeleteFile('C:\WINDOWS\system32\03.exe');
DeleteFile('C:\WINDOWS\system32\04.exe');
DeleteFile('C:\WINDOWS\system32\05.exe');
DeleteFile('C:\WINDOWS\system32\06.exe');
DeleteFile('C:\WINDOWS\system32\07.exe');
DeleteFile('C:\WINDOWS\system32\08.exe');
DeleteFile('C:\WINDOWS\system32\10.exe');
DeleteFile('C:\WINDOWS\system32\11.exe');
DeleteFile('C:\WINDOWS\system32\12.exe');
DeleteFile('C:\WINDOWS\system32\13.exe');
DeleteFile('C:\WINDOWS\system32\14.exe');
DeleteFile('C:\WINDOWS\system32\15.exe');
DeleteFile('C:\WINDOWS\system32\16.exe');
DeleteFile('C:\WINDOWS\system32\17.exe');
DeleteFile('C:\WINDOWS\system32\18.exe');
DeleteFile('C:\WINDOWS\system32\20.exe');
DeleteFile('C:\WINDOWS\system32\21.exe');
DeleteFile('C:\WINDOWS\system32\22.exe');
DeleteFile('C:\WINDOWS\system32\23.exe');
DeleteFile('C:\WINDOWS\system32\24.exe');
DeleteFile('C:\WINDOWS\system32\25.exe');
DeleteFile('C:\WINDOWS\system32\26.exe');
DeleteFile('C:\WINDOWS\system32\28.exe');
DeleteFile('C:\WINDOWS\system32\30.exe');
DeleteFile('C:\WINDOWS\system32\31.exe');
DeleteFile('C:\WINDOWS\system32\32.exe');
DeleteFile('C:\WINDOWS\system32\33.exe');
DeleteFile('C:\WINDOWS\system32\34.exe');
DeleteFile('C:\WINDOWS\system32\35.exe');
DeleteFile('C:\WINDOWS\system32\36.exe');
DeleteFile('C:\WINDOWS\system32\37.exe');
DeleteFile('C:\WINDOWS\system32\38.exe');
DeleteFile('C:\WINDOWS\system32\40.exe');
DeleteFile('C:\WINDOWS\system32\41.exe');
DeleteFile('C:\WINDOWS\system32\42.exe');
DeleteFile('C:\WINDOWS\system32\43.exe');
DeleteFile('C:\WINDOWS\system32\44.exe');
DeleteFile('C:\WINDOWS\system32\45.exe');
DeleteFile('C:\WINDOWS\system32\46.exe');
DeleteFile('C:\WINDOWS\system32\47.exe');
DeleteFile('C:\WINDOWS\system32\48.exe');
DeleteFile('C:\WINDOWS\system32\50.exe');
DeleteFile('C:\WINDOWS\system32\51.exe');
DeleteFile('C:\WINDOWS\system32\52.exe');
DeleteFile('C:\WINDOWS\system32\53.exe');
DeleteFile('C:\WINDOWS\system32\54.exe');
DeleteFile('C:\WINDOWS\system32\55.exe');
DeleteFile('C:\WINDOWS\system32\56.exe');
DeleteFile('C:\WINDOWS\system32\57.exe');
DeleteFile('C:\WINDOWS\system32\58.exe');
DeleteFile('C:\WINDOWS\system32\60.exe');
DeleteFile('C:\WINDOWS\system32\61.exe');
DeleteFile('C:\WINDOWS\system32\62.exe');
DeleteFile('C:\WINDOWS\system32\63.exe');
DeleteFile('C:\WINDOWS\system32\64.exe');
DeleteFile('C:\WINDOWS\system32\65.exe');
DeleteFile('C:\WINDOWS\system32\66.exe');
DeleteFile('C:\WINDOWS\system32\67.exe');
DeleteFile('C:\WINDOWS\system32\68.exe');
DeleteFile('C:\WINDOWS\system32\70.exe');
DeleteFile('C:\WINDOWS\system32\71.exe');
DeleteFile('C:\WINDOWS\system32\72.exe');
DeleteFile('C:\WINDOWS\system32\73.exe');
DeleteFile('C:\WINDOWS\system32\74.exe');
DeleteFile('C:\WINDOWS\system32\75.exe');
DeleteFile('C:\WINDOWS\system32\76.exe');
DeleteFile('C:\WINDOWS\system32\77.exe');
DeleteFile('C:\WINDOWS\system32\78.exe');
DeleteFile('C:\WINDOWS\system32\80.exe');
DeleteFile('C:\WINDOWS\system32\81.exe');
DeleteFile('C:\WINDOWS\system32\82.exe');
DeleteFile('C:\WINDOWS\system32\84.exe');
DeleteFile('C:\WINDOWS\system32\85.exe');
DeleteFile('C:\WINDOWS\system32\86.exe');
DeleteFile('C:\WINDOWS\system32\87.exe');
DeleteFile('C:\WINDOWS\system32\88.exe');
DeleteFile('C:\Documents and Settings\Администратор\bnet.exe');
DeleteFile('C:\Documents and Settings\Администратор\bn.exe');
DeleteFile('C:\Documents and Settings\Администратор\djd.exe');
DeleteFile('C:\Documents and Settings\Администратор\hddd.exe');
DeleteFile('C:\Documents and Settings\Администратор\ms.exe');
DeleteFile('C:\Documents and Settings\Администратор\pfs.exe');
DeleteFile('C:\Documents and Settings\Администратор\serv.exe');
ExecuteWizard('SCU', 2, 2, true);
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
После перезагрузки выполните скрипт в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/CODE]
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
Повторите пункт "Диагностика" правил и приложите получившиеся логи в теме.
Карантин не получается, просканировал малваре и снова сделал 2 стандартный скрипт
Пофиксите в HijackThis:
[code]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
O4 - HKCU\..\Run: [PCHDPlayer] C:\Program Files\pchd\PCHDPlayer.exe
[/code]
В остальном чисто.
Что с проблемой?
походу он рождается откудато, т.к. малваре снова показала те файлы которые мы удаляли, и еще когда малваре загружена на мониторирнг системы она постоянно сообщает о предотвращении попытки обращения на зараженный сайт, пишет айпи адрес. Еще проблема : не могу переустановить Eset, пишет нет прав на внесения изменений в значения реестра Windows! И самая большая проблема не могу запустить программу бэбиСмета, ругается на то что не возможно подключится к Interbase серверу Конечный компьютер отклонил запрос на подключение (запуск производится локально) BDE переустановил - не помогло :(
Установите все обновления безопасности, вышедшие после Service Pack 3:
[url]http://windowsupdate.microsoft.com/[/url]
Обновите Internet Explorer до актуальной версии (даже если не используете):
[url]http://windows.microsoft.com/ru-RU/internet-explorer/downloads/ie[/url]
Выполните скрипт в AVZ отсюда:
[url]http://dataforce.ru/~kad/ScanVuln.txt[/url]
Файл avz_log.txt из папки AVZ\LOG приложите в теме.
Пройдите по всем ссылкам (http:...) в avz_log.txt и установите указанные там обновления.
Выполните еще раз скрипт в [url]http://dataforce.ru/~kad/ScanVuln.txt[/url] и убедитесь, что обновления установились.
Повторите лог virusinfo_syscheck.zip и приложите в теме.
Что-то я не пойму...
Из лога HijackThis:
[QUOTE]Scan saved at 21:44:34, on [B]25.06.2011[/B]
Platform: Windows XP [B]SP3[/B] (WinNT 5.01.2600)[/QUOTE]
Из лога MBAM:
[QUOTE]Windows 5.1.2600 [B]Service Pack 2[/B]
Internet Explorer 6.0.2900.2180
[B]26.06.2011[/B] 12:12:09[/QUOTE]
Т.е. вчера был 3-й пак, а сегодня 2-й - вы ничего не напутали?
Это принципиально важно, т.к. ваша заразка - червь, и система с SP2 перед ним беззащитна. Необходимо ставить SP3 и последующие обновления безопасности, иначе лечиться будете бесконечно.