много вирусов на компе

Printable View

22.04.2008, 19:50
Rouk

Вложений: 3

много вирусов на компе

Недавно пришлось переустановить видну с диска сомнительного качества. В Диспетчере задач появлились с того момента новые и подозрительные процессы.
CureIt проверяет комп до семи часов. Вирусов при этом почти не находит. Последние дня три чищу комп своими силами. Вобщем-то безрезультатно.
Сегодня explorer пришлось запускать вручную. В списке программ появилась папка Рус порн. Что-то, а вот это не мое точно) Папка удалена мной.
Понял, что сам справиться не могу. Увы, не настолько компетентен.
К сожалению, последнию версию авз загрузить не могу. Ни с сайта, ни со сторонней ссылки. Поэтому использую предыдущую версию.
22.04.2008, 20:08
Гриша

Отключите Восстановление системы,антивирус и интернет!

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]

[CODE]F2 - REG:system.ini: Shell=Explorer.exe "C:\Temp\sysfiz.exe"
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\ntos.exe,
O20 - Winlogon Notify: AutorunsDisabled - C:\WINDOWS\[/CODE]

[URL="http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip"]Скачать[/URL],меню,File,появится аналог проводника,найти:WLCtrl32.dll,Qva83.sys,правая кнопка мыши Force Delete.

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\winlogon.exe','');
QuarantineFile('C:\Temp\sysfiz.exe','');
QuarantineFile('kdkzy.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('Qla27.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Qla27.sys','');
QuarantineFile('C:\WINDOWS\system32\olethk32o.exe','');
QuarantineFile('c:\windows\system32\vhosts.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Qva83.sys','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
DeleteService('Qva83');
DeleteService('Qla27');
DeleteService('msupdate');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Qva83.sys');
DeleteFile('c:\windows\system32\vhosts.exe');
DeleteFile('Qla27.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Qla27.sys');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('kdkzy.exe');
DeleteFile('C:\Temp\sysfiz.exe');
DeleteFile('C:\WINDOWS\winlogon.exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Qva83 ');
BC_DeleteSvc('Qla27 ');
BC_DeleteSvc('msupdate ');
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:[url]http://virusinfo.info/upload_virus.php?tid=21899[/url]

Очистите временные папки и кеш браузера.Повторите логи.
22.04.2008, 22:52
Rouk

Вложений: 3

Восстановление системы не включалось с самого первого раза, как по инструкции прогонялась авз и это контролировалось. Антивирус своими кривыми) руками убирался из действующих процессов.
Интернет не был открыт совершенно точно. Было открыто только окно программы авз. Даже в пасьянс не играл, пока сканировался комп)
___
Файлы удалены.
Карантин закачан.
22.04.2008, 23:09
wise-wistful

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\System32\Drivers\Qva83.sys');
DeleteService('Qva83');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Профиксите.
[code]O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)[/code]

Повторите логи.

[quote]Восстановление системы: включено[/quote]
Странно как-то, а Вы говорите что не включали.
23.04.2008, 09:42
Гриша

kdkzy.exe_ - [B]Packed.Win32.Monder.gen[/B]
ntos.exe_ - [B]Trojan-Spy.Win32.Zbot.beh[/B]
winlogon.exe_ - [B]SpamTool.Win32.Agent.if[/B]
olethk32o.exe_ - [B]Trojan.Win32.Pakes.cse[/B]
sysfiz.exe_ - [B]Trojan.Win32.DNSChanger.cih[/B]
vhosts.exe_ - [B]Trojan-Downloader.Win32.Agent.nph[/B]
24.04.2008, 22:06
Rouk

Вложений: 3

Вирусы не дали выйти в и-нет. Поиск CureIt и Авз не дали результатов. Пришлось переустановить Винду на старую.
Как сумел зайти в интернет, полез в эту тему. Не думаю, что выполнять скипты, которые вы просили, актуально)
Логи чуть ниже.
Теперь у меня несколько иная просьба. Хотелось бы очистить прошлую версию виндоус и восстановить её. Хотя бы потому что эта версия неактивирована. Прошлая тут лежит родная на диске и рвет душу на части Т_Т
Какие-нибудь рекомендации по столь неконкретному запросу будут? ^_^
25.04.2008, 11:12
PavelA

Вопрос будет таким: старая винда загружается? Если нет, то боюсь что мы не сможем Вам помочь, т.к. операции, которые надо будет произвести слишком сложны для Вас.

конкретнее, если ст. винда загружается, то нужны логи с нее.
25.04.2008, 21:05
Rouk

Загружается. Файлы системы были не тронуты. Но в ней не работает ни IE, ни ICQ. Мессенджеры не соединяются с серверами, браузеры не могут отобразить страницы.
А... это... Если я зайду из-под старой винды, новую вирусы не заразят? Хоть поставленный нод32 не находит в папках старушки вирусов, этот неумный, но лично для меня насущный, вопрос сильно беспокоит)
25.04.2008, 22:08
PavelA

[QUOTE=Rouk;220144]
А... это... Если я зайду из-под старой винды, новую вирусы не заразят? Хоть поставленный нод32 не находит в папках старушки вирусов, этот неумный, но лично для меня насущный, вопрос сильно беспокоит)[/QUOTE]
ИМНо, малваре заражает только загруженную систему, о других они пока не догадываются.
Попробуй триал-Касперского, или AVPTool. Они могут проверить актуальными на данный момент базами.
Просто закачать на диск, а потом из-под зараженной установить.
Хотя у тебя заразы много было ;( может и не помочь.
25.04.2008, 22:19
Rouk

да уж. Было много >_< ЧТо верно, то верно)
Что ж. Эта идея меня увлекла. Поэксперементируем завтра, когда выспимся на парах)
Спасибо)
27.04.2008, 10:39
Rouk

Вложений: 3

Зашел из-под старой виндоус. Логи сделать удалось, но вот с неё же выложить невозможно. И-нет там все-таки блокируется.
22.02.2009, 05:02
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]27[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\temp\\sysfiz.exe - [B]Trojan.Win32.DNSChanger.cih[/B] (DrWEB: Trojan.DnsChange.952)[*] c:\\windows\\system32\\kdkzy.exe - [B]Trojan.Win32.Monder.gen[/B] (DrWEB: Trojan.Virtumod.based.14)[*] c:\\windows\\system32\\ntos.exe - [B]Trojan-Spy.Win32.Zbot.beh[/B] (DrWEB: Trojan.Proxy.2003)[*] c:\\windows\\system32\\olethk32o.exe - [B]Trojan.Win32.Pakes.cse[/B] (DrWEB: BackDoor.IRC.Tcpip)[*] c:\\windows\\system32\\vhosts.exe - [B]Trojan-Downloader.Win32.Agent.nph[/B] (DrWEB: BackDoor.Dax)[*] c:\\windows\\winlogon.exe - [B]Trojan-Mailfinder.Win32.Agent.if[/B] (DrWEB: Trojan.Packed.573)[/LIST][/LIST]