Не могу убить вирус!

Printable View

15.08.2011, 19:25
salamandr

Вложений: 3

Не могу убить вирус!

При подключении к сети, антивирус Аваст начинает блокировать какие-то вредоносные сайты количеством более 30. При сканировании было обнаружено 2 заражённых файла , один был благополучно удалён , а вот второй ничего не берёт. На практике получается следующая ситуация , некоторые сайты (страницы) не могут до конца загрузиться и Опера просто закрывается - например главная страница Вашего сайта. Что делать не знаю , прошу посильной помощи!
15.08.2011, 19:26
Info_bot

Уважаемый(ая) [B]salamandr[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
15.08.2011, 19:54
Шапельский Александр

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\apppatch\xrxwubd.exe','');
QuarantineFile('C:\Program Files\pchd\PCHDPlayer.exe','');
DeleteFile('C:\Program Files\pchd\PCHDPlayer.exe');
DeleteFilemask('C:\Program Files\pchd','*.*',true);
Deletedirectory('C:\Program Files\pchd');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PCHDPlayer');
DeleteFile('C:\Windows\apppatch\xrxwubd.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
15.08.2011, 21:31
salamandr

Вложений: 3

Спасибо огромное , на мой непрофессиональный взгляд проблема вроде решена! Во всяком случае тот файлик убился , да и браузер нормально начал работать. Надеюсь всё позади
15.08.2011, 22:05
Шапельский Александр

C:\Sysprep\User.exe--это Вам знакомо?

[size="1"][color="#666686"][B][I]Добавлено через 15 минут[/I][/B][/color][/size]

Проверим, выполните скрипт
[CODE]begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Sysprep\User.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]Закачайте карантин
16.08.2011, 00:09
salamandr

[QUOTE=Шапельский Александр;818564]C:\Sysprep\User.exe--это Вам знакомо?
[/QUOTE]
Нет , но по результатам карантина он и есть. Еле к Вам пробился , всё вместо Вас попадал на какую-то секретную страницу якобы Яндекса. Скрипт выполнил , карантин отослал - посмотрю как себя компьютер завтра поведёт
16.08.2011, 00:20
Шапельский Александр

Отключите восстановление системы!
Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Sysprep\User.exe','');
DeleteFile('C:\Sysprep\User.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Unattend0000000001{2461ECE5-AD44-4B70-AE2D-A1DBFD43E93A}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]Закачайте карантин, сделайте новый лог virusinfo_syscheck.zip‎
16.08.2011, 17:20
salamandr

Вложений: 1

Пришёл с работы , позанимался с компом - вирус жив , но ведёт себя скромнее , что уже радует. Выполнил полное сканирование на Аваст , заражённые файлы смог удалить. Выполнил скрипт , лог высылаю - всё же хочу понять заборол я паразита или нет
16.08.2011, 19:18
Шапельский Александр

[B]ОТКЛЮЧИТЕ ВОССТАНОВЛЕНИЕ СИСТЕМЫ![/B]
Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{7E853D72-626A-48EC-A868-BA8D5E23E045}');
QuarantineFile('C:\Windows\apppatch\qmsnfyt.exe','');
DeleteFile('C:\Windows\apppatch\qmsnfyt.exe');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE] Закачайте карантин, сделайте новый лог virusinfo_syscheck.zip‎
17.08.2011, 16:37
salamandr

Вложений: 1

[QUOTE=Шапельский Александр;818857][B]ОТКЛЮЧИТЕ ВОССТАНОВЛЕНИЕ СИСТЕМЫ![/B]‎[/QUOTE]
Уважаемый Александр , если в предыдущих логах Вы обнаружили что восстановление системы включено , то это какой-то баг - оно отключено строго по инструкции с сайта , во всяком случае на моём компе всё выглядит отключённым , впрочем надеюсь что это стандартное предупреждение. Новые лог и карантин отослал.
17.08.2011, 16:48
миднайт

В AVZ выполните скрипт:

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
DeleteService('XDva387');
QuarantineFile('C:\Windows\system32\XDva387.sys','');
DeleteFile('C:\Windows\system32\XDva387.sys');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
[/code]

После перезагрузки

[code]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/code]

Пришлите карантин [b]quarantine.zip[/b] по красной ссылке [B][COLOR="Red"][U]Прислать запрошенный карантин[/U][/COLOR][/B] вверху темы.
Лог virusinfo_syscheck.zip повторите.
17.08.2011, 17:06
Шапельский Александр

[QUOTE]Уважаемый Александр , если в предыдущих логах Вы обнаружили что восстановление системы включено , то это какой-то баг - оно отключено строго по инструкции с сайта[/QUOTE] Прошу прощения, это мой недочет, в логах, сделанных на ОС Vista и W_7 восстановление системы всегда включено.:)
17.08.2011, 18:10
salamandr

Вложений: 1

[QUOTE=Шапельский Александр;819249]Прошу прощения, это мой недочет, в логах, сделанных на ОС Vista и W_7 восстановление системы всегда включено.:)[/QUOTE]
Я уж начал подозревать работу вируса :) , хорошо что это не так. Новый лог высылаю.
PS. Карантин высылаю после выполнения обоих скриптов , а не промежуточный
17.08.2011, 19:15
Шапельский Александр

Чисто, что с проблемой?
17.08.2011, 19:54
salamandr

[QUOTE=Шапельский Александр;819304]Чисто, что с проблемой?[/QUOTE]
Проблема не беспокоила даже вчера , с определённого времени , но так как в Карантине что-то да находилось , то я и продолжал бороться с вражиной )
ЗЫ. Ребята , я вам очень благодарен - всей вашей команде хелперов , а Вам Александр особенно!!! Ваш проект - это второй проект , за всё моё пребывание в Нэте , про который я могу сказать с чистой совестью - он ДОЛЖЕН БЫТЬ!!! Можно ли сбросить Вам деньги через СМС? Просто нету у меня ВебМаней и всего такого
17.08.2011, 20:05
Шапельский Александр

Спасибо за теплые слова!
[QUOTE]Можно ли сбросить Вам деньги через СМС? [/QUOTE]
Не получится.
Если возникнут проблемы, (лучше чтобы их не было!) обращайтесь, постараемся помочь!
18.08.2011, 20:05
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]6[/B][*]Обработано файлов: [B]15[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\apppatch\\xrxwubd.exe - [B]Trojan.Win32.Jorik.Shiz.qf[/B] ( DrWEB: Trojan.DownLoader5.16779, BitDefender: Gen:Heur.FKP.1, NOD32: Win32/Spy.Shiz.NCC trojan, AVAST4: Win32:MalOb-HI [Cryp] )[/LIST][/LIST]