Подозреваю заражение

Printable View

Показывать 40 сообщений этой темы на одной странице

27.05.2013, 21:35
Avtanbor

Подозреваю заражение

Недавно словил известный троян с блокировкой виндовс (там где надо отправить деньги), своими силами кое-как вернул работоспособность системы, но подозреваю, что окончательного лечения не произошло.

Не удается установить ни один серьёзный антивирус.

Упала производительность.

P.S. Файла virusinfo_syscure.zip нет.
27.05.2013, 21:37
Info_bot

Уважаемый(ая) [B]Avtanbor[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
27.05.2013, 23:40
thyrex

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Юрий\AppData\Roaming\microsoft corporation\desic.cor','');
QuarantineFile('C:\Users\D36B~1\AppData\Local\Temp\3fe76.exe','');
DeleteFile('C:\Users\D36B~1\AppData\Local\Temp\3fe76.exe');
DeleteFile('C:\Windows\Tasks\zmzn.job');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
27.05.2013, 23:54
Avtanbor

Карантин прикрепил.

Новые логи:
28.05.2013, 00:08
thyrex

Пофиксите в HiJack
[CODE]O1 - Hosts: sloniki topayt
O1 - Hosts: 66.85.174.29 ok.ru
O1 - Hosts: 66.85.174.29 ok.ru
O1 - Hosts: 66.85.174.29 m.ok.ru
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O3 - Toolbar: Rambler-Ассистент - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - (no file)
O3 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\..\{5030E512-500C-479D-8CE8-C3B1D30831EB}: NameServer = 193.111.137.200
O17 - HKLM\System\CCS\Services\Tcpip\..\{846ee342-7039-11de-9d20-806e6f6e6963}: NameServer = 193.111.137.200
O17 - HKLM\System\CS1\Services\Tcpip\..\{5030E512-500C-479D-8CE8-C3B1D30831EB}: NameServer = 193.111.137.200
O17 - HKLM\System\CS2\Services\Tcpip\..\{5030E512-500C-479D-8CE8-C3B1D30831EB}: NameServer = 193.111.137.200[/CODE]Что с проблемой?
28.05.2013, 00:25
Avtanbor

По-прежнему не могу установить ни один антивирус.

Продукция Касперского - ошибка 1719 или просто прерывается установка

Dr.Web - ошибка при установке (код 8 )

MacAfee - инсталляция идет, но программа не запускается.

Аваст - ошибка. У пользователя недостаточно прав.

Плюс очень долгая загрузка Винды.
28.05.2013, 10:58
mrak74

[URL="http://virusinfo.info/showthread.php?t=16646"][I]Инструкции и утилиты для полного удаления остатков антивирусных продуктов[/I][/URL] Зачистите следы от всех антивирусных продуктов которые пытались установить и попытайтесь выполнить установку антивируса снова, любого на Ваш выбор.
29.05.2013, 00:33
Avtanbor

По инстукции зачистил, но помимо антивирусов не устанавливаются/не запускаются и другие программы.

Как я понимаю из-за вируса произошли изменения в реестре. Отсюда и проблемы, видимо.
29.05.2013, 11:31
mrak74

[URL="http://virusinfo.info/showthread.php?t=121767"][B]Сделайте полный образ автозапуска uVS[/B][/URL]
29.05.2013, 15:56
Avtanbor

Выполнил.
30.05.2013, 12:47
Avtanbor

Всё безнадежно? :(
30.05.2013, 12:56
mrak74

Выполните скрипт в uVS [URL="http://virusinfo.info/showthread.php?t=121769"]Как выполнить скрипт в uVS[/URL]
[CODE];uVS v3.77.16 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
delref HTTP://GOMAILRUP.RU
deltmp
restart[/CODE]

- Откройте файл [URL="http://df.ru/~kad/ScanVuln.txt"][B]ScanVuln.txt[/B][/URL]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

76.164.223.77:808 Прокси сами прописывали ?
30.05.2013, 18:59
Avtanbor

Скрипт выполнил.

[QUOTE]Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).[/QUOTE]

Установил 2 из 3 рекомендуемых обновления. Третье (IE10) не устанавливается. Ошибка.

[QUOTE]76.164.223.77:808 Прокси сами прописывали ?[/QUOTE]

Нет. Никогда прокси не пользовался.
30.05.2013, 20:04
mrak74

Пофиксите в HijackThis:
[CODE]R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 76.164.223.77:808[/CODE]
Перезагрузите компьютер.

Сделайте логи [URL="http://virusinfo.info/showthread.php?t=115256&p=859292#post859292"][B]RSIT[/B][/URL]
+ [url]http://virusinfo.info/showthread.php?t=122524[/url] такой лог.
30.05.2013, 20:26
Avtanbor

Сделал.
30.05.2013, 20:32
mrak74

В командной строке sfc /scannow по аналогии с [url]http://support.microsoft.com/kb/310747/ru[/url]
30.05.2013, 20:50
Avtanbor

Выполнил.

Защита ресурсов Windows не обнаружила нарушений целостности.
31.05.2013, 08:52
mrak74

Выполните скрипт в AVZ:
[CODE]begin
ExecuteAVUpdate;
QuarantineFile('C:\Users\Юрий\3911291.exe','');
DeleteFile('C:\Users\Юрий\3911291.exe');
DelBHO('{09900DE8-1DCA-443F-9243-26FF581438AF}');
RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\explorer');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки выполните скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Загрузите quarantine.zip из папки AVZ по красной ссылке [B]вверху[/B] темы [COLOR="Red"]Прислать запрошенный карантин[/COLOR]
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
31.05.2013, 13:35
Avtanbor

Вложений: 2

Карантин уже один раз загружал, система не дает прислать снова, пишет - Ошибка загрузки. Данный файл уже был загружен.

Логи сделал.
31.05.2013, 13:57
mrak74

Пофиксите в HijackThis:
[CODE]R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 76.164.223.77:808
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)[/CODE]
Остатки DrWeb до сих пор в логе видны, воспользуйтесь [url]http://support.drweb.com/show_faq?faqid=36748727&lng=ru[/url] Dr.Web Remover.
После перезагрузки пробуйте установить антивирус (любой, на Ваш выбор).

Показывать 40 сообщений этой темы на одной странице