Win32(rtk)

Printable View

08.08.2010, 17:26
straddy

Win32(rtk)

Добрый день, добрые люди.
Я лоханулся и после переустановки винды забыл сразу поставить антивир. Потом уехал, жена попользовалась и накачала столько бяки, что комп вообще перестал реагировать. Кое-как подлечил, все сделано по Вашим инструкциям, к сожалению эта бяка пока не исчезает - троян в том числе заблокировал браузеры, пришлось логи грузить с другого компьютера.
Помогите, люди добрые :)
08.08.2010, 18:31
polar_owl

[B]>>>>Внимание !!! База поcледний раз обновлялась 08.07.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз) -- нужно обновить...[/B]

Закройте все программы, выгрузите антивирус, фаерволл

пофиксите В HijackThis:
[CODE]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe
[/CODE]
Я так понимаю, G -- это флешка...
Выполните в AVZ скрипт со вставленной флешкой:
[CODE]begin
SetAVZGuardStatus(True);
TerminateProcessByName('c:\program files\multimedia keyboard driver\m-kbddrv.exe');
QuarantineFile('G:\rncrzf.exe','');
QuarantineFile('G:\autorun.inf','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
QuarantineFile('C:\Program Files\Multimedia Keyboard Driver\HookKbd.dll','');
QuarantineFile('c:\program files\multimedia keyboard driver\m-kbddrv.exe','');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
DeleteFile('G:\autorun.inf');
DeleteFile('G:\rncrzf.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(20);
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер сам перезагрузится.
Выполните после перезагрузки такой скрипт:

[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'virus.zip');
end.[/CODE]

В папке c АВЗ сохранится [B]virus.zip[/B].
Пришлите его по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы.
Повторите логи.
08.08.2010, 19:54
straddy

Все сделал как было сказано, но комп у меня к сети не все еще не подключается. Базы обновлял на другом и все это перенес на зараженный.
Файл закачал по ссылке. ниже логи.
Да, G: это была флешка, на которую копировал логи, действительно также заражена (другой комп опознал и удалил).
08.08.2010, 20:43
polar_owl

[CODE]H:\Wojciech\studia\jachowicz\Piasecki.vir.rar[/CODE]
Это то, что в карантине. Я это ни разу не запрашивал, а вот то, что должно там быть почему-то отсутствует...:)
Вы тот virus.zip загрузили?

[QUOTE='straddy;684397']комп у меня к сети не все еще не подключается.[/QUOTE]
Как это проявляется? Компьютер ip - адрес получает?
08.08.2010, 22:08
straddy

это я лоханулся, запустил скрипт, создал архив, потом сделал новые логи и - снова запустил скрипт, тк подумал, что могло дойти что-то новое
но тогда и в файле ничего не оказалось
виноват

вот новые логи

комп уже подключается к сети но последний раз отключить его смог только выдергивая кабель :)

кстати, две вещи, не знаю, важны ли:
- висит 8 обновлений винды - но установка неудачная
- вовремя работы avz дважды появились уведомления об ошибках "программа не готова, exerption" и куча цифр
08.08.2010, 22:25
polar_owl

Меню Файл - Просмотр карантина. Там поищите файл
[B]C:\Program Files\Internet Explorer\setupapi.dll[/B]
Поставьте напротив него галочку, и пришлите согласно приложению 3 правил.
[QUOTE='straddy;684493']последний раз отключить его смог только выдергивая кабель [/QUOTE]Именно последний раз или постоянно?
[QUOTE='straddy;684493']кстати, две вещи, не знаю, важны ли:[/QUOTE]
Обновления -- сказать толком ничего не смогу. Думаю, что поставятся рано или поздно. Наверное, это из-за прерванной установки.
программа не готова, exerption -- при работе АВЗ лучше компьютер оставлять в покое и дождаться окончания работы:)

Выполните в АВЗ:[CODE]begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
end.[/CODE]
Затем выполните инструкцию, описанную в первом сообщении здесь:[url]http://virusinfo.info/showthread.php?t=3519[/url]
Результат загрузки архива сообщите.
09.08.2010, 22:50
straddy

[I]Меню Файл - Просмотр карантина. Там поищите файл
[B]C:\Program Files\Internet Explorer\setupapi.dll[/I]

[/B]Я не знаю, что такое, но карантин оказался пустым! Я делал так, как Вы сказали.

Результат закачки:

Файл сохранён как100809_215614_virusinfo_files_straddy_4c60413ec74a3.zip
Размер файла9812733
MD57fc6f76b8e678b73eaffba7907fddc39

[I]программа не готова, exсeption и куча цифр номера ошибки - при работе АВЗ лучше компьютер оставлять в покое и дождаться окончания работы:)

[/I]Я его не трогаю, но при выполнении скриптов это повторяется.
Может снести AVZ, закачать заново и повторить упражнения?

[size="1"][color="#666686"][B][I]Добавлено через 48 минут[/I][/B][/color][/size]

забыл сказать - подключение каждый раз перестает реагировать - отключаться не могу
10.08.2010, 16:26
AndreyKa

Выполните в AVZ скрипт [url=http://dataforce.ru/~kad/ScanVuln.txt]ScanVuln.txt[/url] и приложите сюда файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из протокола AVZ и установите обновления.
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
10.08.2010, 21:25
straddy

Вложений: 1

запрашиваемый файл

Кажется нашли виновника:

Sun Java JDK и JRE

Java не хочет ни устанавливаться, ни не разрешает удалится. Пишет об ошибке Windows Installer
11.08.2010, 22:06
straddy

Я убил Java вручную (revo uninstaller), но скрипт по любому выдает:
Множественные уязвимости в Sun Java JDK и JRE
Установка новой Java из сайта не получается, выдает комуникат:
невозможно установить бла, бла, проблема Windows Installer
Я скачал и переустановил Windows Installer, но это проблему не решило.

Что делать, люди добрые?
11.08.2010, 22:43
AndreyKa

Убивать программы вручную не хорошо.
Но раз вы до этого дошли, удалите раздел в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\JavaSoft
11.08.2010, 23:09
straddy

удалил, но это не помогло, Java не встает, не пускает к службе Windows Installer

на всякий пожарный новые логи

скрипт уже никаких уязвимости не выдает
12.08.2010, 11:03
AndreyKa

В логах нет ничего подозрительного.
12.08.2010, 12:46
straddy

А что делать с Java и Windows Installer? Разве это не действия трояна?
12.08.2010, 13:40
AndreyKa

Возможно, это последствия действий трояна.
Вы устанавливали Windows Installer 4.5 - [url]http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5a58b56f-60b6-4412-95b9-54d056d6f9f4[/url] ?
12.08.2010, 17:41
straddy

Да, именно это.
Там что-то должно сидеть - WI грузится очень долго, чтобы потом быстро вырубиться, типа - нет такой службы.
15.08.2010, 21:17
straddy

Все, кажется я справился.
Всем спасибо!
15.08.2010, 21:36
AndreyKa

И как вам это удалось?
16.08.2010, 15:06
straddy

1. Еще раз вычистил CCleaner историю, чтобы не осталось там следов Java.
2. В Сдужбах запустил Установщика Windows вручную.

Вроде заработало.
17.08.2010, 15:06
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]