Помогите добить вирус

Printable View

22.03.2012, 14:11
fil360

Вложений: 4

Помогите добить вирус

Здравствуйте! После самостоятельного лечения и удаления вредных файлов, замены файла hosts (первые логи 1.zip), остались сильные тормоза системы, IE через несколько секунд после открытия какой-либо страницы с ошибкой runtime error, или вообще без ошибки, авира не может обновиться.
22.03.2012, 14:12
Info_bot

Уважаемый(ая) [B]fil360[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
22.03.2012, 14:39
regist

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=57441]- Антивирус и Файрвол[/url]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Elena\Главное меню\Программы\Автозагрузка\GrYajZBLzk4.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\St3DYD.dll','');
DeleteFile('C:\Documents and Settings\All Users\Application Data\St3DYD.dll');
DeleteFile('C:\Documents and Settings\Elena\Главное меню\Программы\Автозагрузка\GrYajZBLzk4.exe');
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
AutoFixSPI;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.

[/code]

[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]

[b]После перезагрузки:[/b]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.

- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip [/color])
Сделайте [url=http://virusinfo.info/showthread.php?t=115256]логи RSIT.[/url]

Сделайте лог [url=http://virusinfo.info/showpost.php?p=457118&postcount=1]полного сканирования МВАМ.[/url]
22.03.2012, 17:42
fil360

Вложений: 4

После выполнения скрипта, перестала работать сеть (ограниченное соединение, wi-fi) и авира работоспособна только на половину (web- и mail-protection не активны). В корне диска С: появились файл plg.txt и папка vAiAZFJMrrwO6Nh с файлами (plg архив прикладываю).
22.03.2012, 21:12
regist

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=57441]- Антивирус и Файрвол[/url]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
RegKeyParamDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupfolder','C:^Documents and Settings^Elena^Главное меню^Программы^Автозагрузка^AdobeLoaderkkuppk.lnk');
RegKeyParamDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupfolder','C:^Documents and Settings^Elena^Главное меню^Программы^Автозагрузка^opjkeedouble.lnk');
QuarantineFileF('C:\vAiAZFJMrrwO6Nh','*', true,'',0 ,0);
DeleteFileMask('C:\vAiAZFJMrrwO6Nh', '*', true);
DeleteDirectory('C:\vAiAZFJMrrwO6Nh',' ');
QuarantineFileF('C:\Documents and Settings\Elena\Application Data\vAiAZFJMrrwO6Nh','*', true,'',0 ,0);
DeleteFileMask('C:\Documents and Settings\Elena\Application Data\vAiAZFJMrrwO6Nh', '*', true);
DeleteDirectory('C:\Documents and Settings\Elena\Application Data\vAiAZFJMrrwO6Nh',' ');
QuarantineFile('C:\plg.txt','');
DeleteFile('C:\plg.txt');
QuarantineFile('C:\WINDOWS\system32\ieunitdrf.inf','');
DeleteFile('C:\WINDOWS\system32\ieunitdrf.inf');
ExecuteRepair(14);
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

[/code]

[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]

[b]После перезагрузки:[/b]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.

- Сделайте повторные логи RSIT
- Проведите процедуру, которая описана в первом сообщении [url=http://virusinfo.info/showthread.php?t=3519][B]тут[/B][/url]. Результат загрузки напишите в сообщении здесь.
22.03.2012, 21:13
regist

что с проблемами ?

+ обязательно смените все пароли !
22.03.2012, 22:29
fil360

Куда пропал plg.zip, который я выкладывал?
22.03.2012, 22:40
olejah

[quote="fil360;878388"]Куда пропал plg.zip, который я выкладывал?[/quote] Еще раз выложите, получите нарушение. Вы пожалуйста правила читайте, когда регистрируетесь, выкладывать зверей в общий доступ [B]категорически[/B] запрещено!

Для этого есть специальная форма.

Вот [URL="http://virusinfo.info/showthread.php?t=118279&p=878356&viewfull=1#post878356"]первый[/URL] и [URL="http://virusinfo.info/showthread.php?t=118279&p=878357&viewfull=1#post878357"]второй[/URL] шаг, которые нужно выполнить.
22.03.2012, 23:05
thyrex

+ если сеть так не восстановилась, попробуйте утилиту WinsocksFix [url]http://virusinfo.info/showthread.php?t=10267[/url]
23.03.2012, 00:11
fil360

Вложений: 1

Применил второй скрипт. Карантин отправил. Сеть ограничена или отключена, авира также на половину работает...
23.03.2012, 00:33
thyrex

[quote="thyrex;878416"]попробуйте утилиту WinsocksFix [url]http://virusinfo.info/showthread.php?t=10267[/url][/quote]Пробовали?
23.03.2012, 00:49
fil360

Да, после ее применения сеть заработала!!
А Авира не хочет правильно работать, видимо придется ее переустановить.
Всем большое спасибо за помощь!!!
23.03.2012, 00:58
thyrex

[quote="fil360;878443"]А Авира не хочет правильно работать, видимо придется ее переустановить.[/quote]
Пробуйте
23.03.2012, 01:15
fil360

После переустановки Авира заработала. Все ок!
24.03.2012, 01:15
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]18[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\all users\\application data\\st3dyd.dll - [B]HEUR:Trojan.Win32.Generic[/B] ( DrWEB: Trojan.KillAV.66, BitDefender: Gen:Heur.Conjar.11, NOD32: Win32/Delf.OEW trojan, AVAST4: Win32:Dropper-KIX [Drp] )[*] c:\\documents and settings\\elena\\главное меню\\программы\\автозагрузка\\gryajzblzk4.exe - [B]Backdoor.Win32.Gbot.wmz[/B] ( DrWEB: Trojan.Carberp.276, BitDefender: Trojan.Generic.KDV.576376, AVAST4: Win32:Downloader-NPP [Trj] )[*] c:\\vaiazfjmrrwo6nh\\klpclst.dat - [B]Trojan.Script.Carberp.a[/B] ( DrWEB: Trojan.Carberp.30, AVAST4: BV:Carberp-C [Trj] )[*] \\plg\\vaiazfjmrrwo6nh\\klpclst.dat - [B]Trojan.Script.Carberp.a[/B] ( DrWEB: Trojan.Carberp.30, AVAST4: BV:Carberp-C [Trj] )[/LIST][/LIST]