Последствия вируса?

Printable View

13.08.2008, 10:30
tov-serjant

Последствия вируса?

1. На компьютере стоял Avast. Пропустил какую-то дрянь. Начал отваливаться инет и при входе пользователя в систему автоматически появляться окно "мои документы"
2. DrWeb CureIT! вирус вроде бы покарал. Инет заработал. Тормоза исчезли. Поставил KIS 7 в пробный период
3. Окно "Мои документы" всё равно вылазит. Как это исправить?
13.08.2008, 11:04
Rene-gad

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,userinit.exe
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('VSSSysmonLog');
DeleteService('UPSVSS');
DeleteService('ThemesMSDTC');
DeleteService('NtmsSvcupnphost');
DeleteService('HidServThemesMSDTC');
DeleteService('HidServ Antivirus');
DeleteService('Google Online Services');
DeleteService('avast!ose');
DeleteService('Winyf74');
DeleteService('Winpv30');
DeleteService('Winov74');
DeleteService('Wingm17');
DeleteService('Gms63');
DeleteService('docker19');
QuarantineFile('C:\windows\ffpext\ffpkbd.dll','');
QuarantineFile('C:\WINDOWS\System32\zyyi807.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winyf74.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winpv30.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winov74.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wingm17.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Gms63.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\docker19.sys','');
QuarantineFile('C:\Documents and Settings\Ласкутик\ie_updates3r.exe','');
DeleteFile('C:\Documents and Settings\Ласкутик\ie_updates3r.exe');
DeleteFile('C:\WINDOWS\system32\drivers\docker19.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Gms63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingm17.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winov74.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpv30.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winyf74.sys');
DeleteFile('C:\WINDOWS\System32\zyyi807.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('VSSSysmonLog');
BC_DeleteSvc('UPSVSS');
BC_DeleteSvc('ThemesMSDTC');
BC_DeleteSvc('NtmsSvcupnphost');
BC_DeleteSvc('HidServThemesMSDTC');
BC_DeleteSvc('HidServ Antivirus');
BC_DeleteSvc('Google Online Services');
BC_DeleteSvc('avast!ose');
BC_DeleteSvc('Winyf74');
BC_DeleteSvc('Winpv30');
BC_DeleteSvc('Winov74');
BC_DeleteSvc('Wingm17');
BC_DeleteSvc('Gms63');
BC_DeleteSvc('docker19');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
15.08.2008, 12:41
tov-serjant

На этапе скрипта AVZ выдаёт следующую ошибку [URL=http://img292.imageshack.us/my.php?image=26500211js5.jpg][IMG]http://img292.imageshack.us/img292/2541/26500211js5.th.jpg[/IMG][/URL]
15.08.2008, 12:44
Rene-gad

Спасибо, извините, скрипт подправил. Выполняйте :)
15.08.2008, 17:18
tov-serjant

Карантин с логами
15.08.2008, 17:20
Rene-gad

[QUOTE=tov-serjant;268156]Карантин с логами[/QUOTE]карантин - [URL="http://virusinfo.info/upload_virus.php?tid=28002"]сюда[/URL], а логов чего-то мало :>
15.08.2008, 17:24
tov-serjant

[quote=Rene-gad;268158]карантин - [URL="http://virusinfo.info/upload_virus.php?tid=28002"]сюда[/URL], а логов чего-то мало :>[/quote]

ASTUlog как прикрепить?:>
15.08.2008, 17:26
Rene-gad

[QUOTE=tov-serjant;268161]ASTUlog как прикрепить?:>[/QUOTE]А что это? :O
[CODE]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
[/CODE]Эти 3 брата должны быть прикреплены - ни больше, ни меньше.
15.08.2008, 17:29
tov-serjant

[quote=Rene-gad;268163]А что это? :O
[code]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
[/code]Эти 3 брата должны быть прикреплены - ни больше, ни меньше.[/quote]

эээ:russian_ru:
с логами пока соображаю:)
а вот карантин залил 080815_082615_virus_48a583f7b5274.zip
15.08.2008, 17:30
Rene-gad

[QUOTE=tov-serjant;268168]с логами пока соображаю:)
[/QUOTE]
Перечитайте правила от п.8, чтобы побыстрее соображать ;)
15.08.2008, 17:35
tov-serjant

[quote=Rene-gad;268170]Перечитайте правила от п.8, чтобы побыстрее соображать ;)[/quote]

завтра можно логи скинуть?:slow:
а то рабочий день закончился:heat:
15.08.2008, 17:36
Rene-gad

[QUOTE=tov-serjant;268173]завтра можно логи скинуть?:[/QUOTE]Мы никуда не спешим 8)
16.08.2008, 11:25
tov-serjant

Вложений: 3

логи
16.08.2008, 13:24
Rene-gad

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
ClearQuarantine;
executerepair(9);
executerepair(11);
executerepair(17);
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices\mmsass','zyyi807.exe');
RegKeyDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices\mmsass');
QuarantineFile('zyyi807.exe','');
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- Сделайте повторные логи начиная от п.10 правил.
- Закачайте карантин -если чего попадет- по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
16.08.2008, 13:37
tov-serjant

Вложений: 1

логи
16.08.2008, 13:44
Rene-gad

Откройте редактор реестра, пройдите в каталог
[B]HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices[/B], удалите ключ [B]mmsass[/B] , закройте редактор реестра, повторите [B]2 лога [/B]начиная от п. 10 правил.
16.08.2008, 14:16
tov-serjant

Вложений: 2

[quote=Rene-gad;268468]Откройте редактор реестра, пройдите в каталог
[B]HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices[/B], удалите ключ [B]mmsass[/B] , закройте редактор реестра, повторите [B]2 лога [/B]начиная от п. 10 правил.[/quote]

готово
16.08.2008, 14:18
Rene-gad

В логах ничего плохого.
Поставьте Сервис Пак 3.
22.08.2008, 07:45
tov-serjant

[quote=Rene-gad;268485]В логах ничего плохого.
Поставьте Сервис Пак 3.[/quote]

:thank_you2:
22.02.2009, 07:03
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]48[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\ffpext\\ffpkbd.dll - [B]not-a-virus:Monitor.Win32.KeyLogger.la[/B][/LIST][/LIST]