Помогите пожалуйста дочистить компьютер

Printable View

21.09.2010, 21:00
OlegMal

Помогите пожалуйста дочистить компьютер

Добрый вечер, посмотрите пожалуйста логи и помогите до конца избавиться от зловредов. Комп не выходитна сайты производителей ативирусов и на Ваш форум.
21.09.2010, 22:05
olejah

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\documents and settings\user\Главное меню\Программы\Автозагрузка\ctfmon.exe');
TerminateProcessByName('c:\documents and settings\user\local settings\temp\~vis0000\fsg_4104.exe');
TerminateProcessByName('c:\windows\system32\xp-3e13c628.exe');
TerminateProcessByName('c:\windows\muis\svchost.exe');
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\E_4\shell.fne','');
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\E_4\krnln.fnr','');
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\E_4\internet.fne','');
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\E_4\eAPI.fne','');
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\E_4\dp1.fne','');
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\E_4\com.run','');
QuarantineFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\ctfmon.exe','');
QuarantineFile('C:\WINDOWS\muis\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\XP-3E13C628.EXE','');
QuarantineFile('c:\documents and settings\user\local settings\temp\~vis0000\fsg_4104.exe','');
QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\0000510E_Rar\fsg_4104.exe','');
QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\0000511D_Rar\fsg_4104.exe','');
QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\0000513C_Rar\fsg_4104.exe','');
QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\0000514C_Rar\fsg_4104.exe','');
QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\00005227_Rar\fsg_4104.exe','');
QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\00005F08_Rar\fsg_4104.exe','');
QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\0000631F_Rar\fsg_4104.exe','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('D:\Recycled\ctfmon.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\sptd.sys','');
DeleteFile('D:\Recycled\ctfmon.exe');
DeleteFile('D:\autorun.inf');
DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\0000631F_Rar\fsg_4104.exe');
DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\00005F08_Rar\fsg_4104.exe');
DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\00005227_Rar\fsg_4104.exe');
DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\0000514C_Rar\fsg_4104.exe');
DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\0000513C_Rar\fsg_4104.exe');
DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\0000511D_Rar\fsg_4104.exe');
DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\0000510E_Rar\fsg_4104.exe');
DeleteFile('c:\documents and settings\user\local settings\temp\~vis0000\fsg_4104.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Trickler');
DeleteFile('C:\WINDOWS\system32\XP-3E13C628.EXE');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','XP-3E13C628');
DeleteFile('C:\WINDOWS\muis\svchost.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','svchost.exe');
DeleteFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\ctfmon.exe');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\E_4\com.run');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\E_4\dp1.fne');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\E_4\eAPI.fne');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\E_4\internet.fne');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\E_4\krnln.fnr');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\E_4\shell.fne');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteRepair(11);
ExecuteRepair(17);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

- Повторите логи
21.09.2010, 22:35
OlegMal

Карантин выслал
100921_222419_quarantine_4c98f85337e5d.zip
Скрипты выполнил, логи прилагаю. Не могу запустить стандартный AVZ, использую полиморфный.
21.09.2010, 22:41
olejah

У Вас файловый вирус, надо лечиться так - [URL="http://virusinfo.info/showthread.php?t=15927"]http://virusinfo.info/showthread.php?t=15927[/URL] со всеми подключенными съёмными устройствами
22.09.2010, 20:50
OlegMal

Посмотрите пожалуйста вот эти логи, это после сканирования KISом на другом компе.
22.09.2010, 21:01
olejah

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('D:\autorun.inf','');
DeleteService('abp470n5');
QuarantineFile('C:\WINDOWS\system32\drivers\mmdmln.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\mmdmln.sys');
BC_DeleteSvc('abp470n5');
DeleteFile('D:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteRepair(17);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

- Повторите логи
22.09.2010, 21:19
OlegMal

Карантин выслал Файл сохранён как100922_211808_quarantine_4c9a3a50ceb39.zip
Логи прилагаю.
22.09.2010, 21:36
olejah

Ничего плохого больше.
22.09.2010, 21:46
OlegMal

Спасибо за помощь
22.09.2010, 22:12
olejah

- Microsoft прекратил поддержку и выпуск обновлений безопасности для ОС Windows XP, на которых не установлен Сервис Пак 3. Установите [url="http://www.microsoft.com/Downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4"]Сервис Пак 3[/url] - возможно потребуется активация. Перед установкой Сервис Пака необходимо выгрузить [b][color="Red"]все защитные приложения[/color][/b] (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите все [url=http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru]важные обновления[/url].
- Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]IE 8[/url] - даже если Вы им не пользуетесь.
23.09.2010, 22:12
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]72[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\user\\рабочий стол\\лечение\\avz4\\zaf.exe - [B]Virus.Win32.Sality.bh[/B] ( DrWEB: Win32.Sector.22, BitDefender: Win32.Sality.3, NOD32: Win32/Sality.NBA virus, AVAST4: Win32:Sality )[*] c:\\docume~1\\user\\locals~1\\temp\\winchdg.exe - [B]Trojan.Win32.Vilsel.amrm[/B] ( DrWEB: Win32.Sector.22, BitDefender: Win32.Sality.3, NOD32: Win32/Sality.NBA virus, AVAST4: Win32:Sality )[*] c:\\docume~1\\user\\locals~1\\temp\\winhwxch.exe - [B]Trojan-Downloader.Win32.Small.jvx[/B] ( DrWEB: Trojan.Spambot.3654, BitDefender: Trojan.Generic.3888069, NOD32: Win32/Agent.HLU trojan, AVAST4: Win32:Sality-GR )[*] c:\\docume~1\\user\\locals~1\\temp\\winlauon.exe - [B]Trojan.Win32.Vilsel.amrm[/B] ( DrWEB: Win32.Sector.22, BitDefender: Win32.Sality.3, NOD32: Win32/Sality.NBA virus, AVAST4: Win32:Sality )[*] c:\\program files\\common files\\ahead\\lib\\nerocheck.exe - [B]Virus.Win32.Sality.aa[/B] ( DrWEB: Win32.Sector.12, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAU virus, AVAST4: Win32:Kukacka )[*] c:\\program files\\messenger\\msmsgs.exe - [B]Packed.Win32.Katusha.o[/B] ( DrWEB: Win32.Sector.12, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAU virus, AVAST4: Win32:Kukacka )[*] c:\\program files\\mozilla firefox\\firefox.exe - [B]Virus.Win32.Sality.aa[/B] ( DrWEB: Win32.Sector.12, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAU virus, AVAST4: Win32:Kukacka )[*] c:\\program files\\paragon software\\multilex 7\\multilex.exe - [B]Packed.Win32.Katusha.o[/B] ( DrWEB: Win32.Sector.12, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAU virus, AVAST4: Win32:Sality )[*] c:\\program files\\winamp\\winamp.exe - [B]Virus.Win32.Sality.aa[/B] ( DrWEB: Win32.Sector.12, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAU virus, AVAST4: Win32:Kukacka )[*] c:\\progra~1\\common~1\\micros~1\\dw\\dw20.exe - [B]Virus.Win32.Sality.aa[/B] ( DrWEB: Win32.Sector.12, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAU virus, AVAST4: Win32:Kukacka )[*] c:\\windows\\muis\\svchost.exe - [B]Worm.Win32.Agent.zx[/B] ( DrWEB: Trojan.MulDrop.33006, BitDefender: Trojan.Generic.3064505, NOD32: Win32/Delf.NQN worm, AVAST4: Win32:Delf-NZD [Trj] )[*] c:\\windows\\system32\\pv6444ce.exe - [B]Trojan.Win32.FlyStudio.acc[/B] ( DrWEB: Trojan.FlyClick.1, BitDefender: Gen:Variant.EvilEPL.6, AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\w5b07972.exe - [B]Trojan.Win32.FlyStudio.acd[/B] ( DrWEB: Trojan.FlyClick.1, BitDefender: Gen:Variant.EvilEPL.6, AVAST4: Win32:ScramFly [Cryp] )[*] c:\\windows\\system32\\xp-3e13c628.exe - [B]Virus.Win32.Sality.aa[/B] ( DrWEB: Win32.HLLW.Autoruner.7216, BitDefender: Win32.Sality.OG, AVAST4: Win32:Kukacka )[/LIST][/LIST]