Вирусы

Printable View

18.10.2011, 22:10
sp1ke

Вложений: 3

Вирусы

Здраствуйте, решыл попросить помощи. Ситуацыя такая.
Вначале заметил вирус который вместо папок на флешках заменяет их на ярлики(ето очень мешало).Искал Вирус Касперским ,-ничего, dr.web - ничего, посоветивали поставить AVG , поставил и в итоге вылечил.Думал все , но потом начал выдавать о множестве вирусах(но в итоге полностю не лечит ).Потом при включение компа выдавать ошыбку "Отключение системы вызвано NT AUTHORITY \ SYSTEM" и выключатса за 1 минуту.

В итоге хочу вот полечить комп, да и чтобы мне помогли поставить заплатки , так как я незнаю где их брать и какие.

Заранее спасибо.

Вот логи:
18.10.2011, 22:11
Info_bot

Уважаемый(ая) [B]sp1ke[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
18.10.2011, 22:29
ARMA9000

Профиксить:
[CODE]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://pooshock.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
[/CODE]

Выполнить скрипт:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\WINDOWS\system32\81.exe','');
QuarantineFile('E:\WINDOWS\system32\26.exe','');
QuarantineFile('E:\WINDOWS\system32\23.exe','');
QuarantineFile('E:\WINDOWS\system32\11.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
DeleteFile('E:\WINDOWS\system32\11.exe');
DeleteFile('E:\WINDOWS\system32\23.exe');
DeleteFile('E:\WINDOWS\system32\26.exe');
DeleteFile('E:\WINDOWS\system32\81.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится. Карантин прислать согласно правилам. Логи повторить + сделать лог MBAM(ссылка в подписи).
19.10.2011, 01:14
sp1ke

Вложений: 4

профиксил,выполнил скрипт,карантин отправил,логи повторно зделал + лог MBAM. Вирусов полно, надеюсь вы мне поможете.
19.10.2011, 08:36
ARMA9000

Удалите в MBAM все, кроме:
[CODE]
Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
c:\vegas_pro_10.0a(rus+crack)\vegas_pro_10.0a(rus+crack)\vegas_pro_10.0a кряк.exe (PUP.Hacktool.Patcher) -> No action taken.
c:\Games\batlefield 2\bf2_keygen_ea1211.exe (RiskWare.Tool.CK) -> No action taken.

[/CODE]
Сделайте новое исследование в MBAM.
19.10.2011, 19:18
sp1ke

Вложений: 1

Удалил , зделал новый лог. Но AVG серавно замечает вирусы , если разешенно , то могу сылки на скрины кинуть , чтобы убедитса что где и как.
20.10.2011, 00:09
thyrex

Установите все [url="http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru"]новые обновления[/url] для Windows
Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url] (даже если им не пользуетесь)
21.10.2011, 00:09
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]42[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\first\\application data\\4fhj.exe - [B]Trojan-Dropper.Win32.VB.ndi[/B] ( DrWEB: Trojan.Siggen3.6950, BitDefender: Trojan.Generic.6660501, AVAST4: Win32:VB-XNQ [Trj] )[*] c:\\windows\\temp\\vrta.tmp - [B]Trojan.Win32.Scar.ensq[/B] ( DrWEB: BackDoor.IRC.Bot.1073, BitDefender: Trojan.Generic.7390525, AVAST4: Win32:IRCBot-DXN [Trj] )[*] e:\\windows\\system32\\11.exe - [B]Backdoor.Win32.Floder.egf[/B] ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Generic.KDV.374656, AVAST4: Win32:Kolab-MX [Trj] )[*] e:\\windows\\system32\\23.exe - [B]Trojan.Win32.Menti.ihqz[/B] ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.KDV.376327, AVAST4: Win32:Kolab-MX [Trj] )[*] e:\\windows\\system32\\26.exe - [B]Backdoor.Win32.Floder.egf[/B] ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Generic.KDV.374656, AVAST4: Win32:Kolab-MX [Trj] )[*] e:\\windows\\system32\\81.exe - [B]Trojan.Win32.Agent2.lyu[/B] ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.KDV.376327, NOD32: Win32/AutoRun.AFQ worm, AVAST4: Win32:Kolab-MX [Trj] )[/LIST][/LIST]