Помогите избавиться от вирусов

Printable View

25.11.2010, 17:08
Alexa3310

Помогите избавиться от вирусов

Пробовал почистить компьютер в безопасном режиме с помощью AVZ и Cure IT, но есть подозрение что вирусы остались. Иногда появляется сообщение что мало виртуальной памяти или ошибка инициализации. Логи прилагаю
25.11.2010, 17:10
snifer67

Авз запускали с лайф-сиди?
25.11.2010, 17:13
Alexa3310

с флэшки, с лайф-сиди не дает запускаться
25.11.2010, 17:34
snifer67

Сделайте лог [url=http://virusinfo.info/showthread.php?t=58309] ComboFix[/url]
25.11.2010, 19:28
Alexa3310

лог приложил
25.11.2010, 21:45
polword

- Замените файл c:\windows\system32\drivers\cdrom.sys на чистый из [URL="http://virusinfo.info/showthread.php?t=51654"]дистрибутива[/URL].

- Скопируйте текст ниже в блокнот и сохраните как файл с названием [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на рабочий стол.
[CODE]
KillAll::

File::
c:\windows\system32\7E050D\9C-BZ9.EXE
c:\windows\system32\7E050D\TC-Z5P.EXE
c:\windows\system32\7E050D\TC-ZGP.EXE
c:\windows\system32\9F9E2A\C9C2EE.EXE
c:\windows\system32\napougoucoo.exe
c:\windows\system32\kotyr.exe
c:\documents and settings\SavoL\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\Ђўв®§*Јаг§Є*\0ggbssn.exe
c:\documents and settings\SavoL\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\Ђўв®§*Јаг§Є*\2faa6mm.exe
c:\documents and settings\SavoL\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\Ђўв®§*Јаг§Є*\70njee6.exe
c:\documents and settings\SavoL\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\Ђўв®§*Јаг§Є*\9w1id0z.exe
c:\documents and settings\SavoL\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\Ђўв®§*Јаг§Є*\aavmmhnj.exe
c:\documents and settings\SavoL\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\Ђўв®§*Јаг§Є*\c6oo1k9g.exe

Driver::

NetSvc::

Folder::
c:\windows\system32\7E050D
c:\windows\system32\9F9E2A

Registry::

FileLook::

DirLook::[/CODE]

После сохранения переместите [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на пиктограмму [B]ComboFix.exe[/B].

[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]

- Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
- Сделайте логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.1-3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscure.zip;virusinfo_syscheck.zip; hijackthis.log[/COLOR])
26.11.2010, 10:31
Alexa3310

Заменил файл c:\windows\system32\drivers\cdrom.sys с чистого компьютера
логи прилоржил
26.11.2010, 11:01
polword

Отключите[B][COLOR="Red"]Системное восстановление!!![/COLOR][/B][URL="http://avptool.ru/ru/AVPTool_helpdesk_sysrestore.htm"] как- посмотреть можно тут[/URL]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\9F9E2A\C9C2EE.EXE','');
QuarantineFile('C:\Documents and Settings\SavoL\Главное меню\Программы\Автозагрузка\too71vmmhdd.exe','');
QuarantineFile('C:\Documents and Settings\SavoL\Главное меню\Программы\Автозагрузка\t0zka9w1s.exe','');
QuarantineFile('C:\Documents and Settings\SavoL\Главное меню\Программы\Автозагрузка\s6ee6vw7.exe','');
QuarantineFile('C:\Documents and Settings\SavoL\Главное меню\Программы\Автозагрузка\q3ssneezqql.exe','');
QuarantineFile('C:\Documents and Settings\SavoL\Главное меню\Программы\Автозагрузка\pggbssneezq.exe','');
QuarantineFile('C:\Documents and Settings\SavoL\Главное меню\Программы\Автозагрузка\pffbrrnd.exe','');
QuarantineFile('C:\Documents and Settings\SavoL\Главное меню\Программы\Автозагрузка\hdttpffb.exe','');
QuarantineFile('C:\Documents and Settings\SavoL\Главное меню\Программы\Автозагрузка\faa6mcdyy6k.exe','');
QuarantineFile('C:\Documents and Settings\SavoL\Главное меню\Программы\Автозагрузка\fa1wssneez.exe','');
QuarantineFile('C:\Documents and Settings\SavoL\Главное меню\Программы\Автозагрузка\dez1awhcc6.exe','');
QuarantineFile('C:\Documents and Settings\SavoL\Главное меню\Программы\Автозагрузка\cjjaavbc.exe','');
QuarantineFile('C:\Documents and Settings\SavoL\Главное меню\Программы\Автозагрузка\c6oo1k9g.exe','');
QuarantineFile('C:\Documents and Settings\SavoL\Главное меню\Программы\Автозагрузка\aavmmhnj.exe','');
QuarantineFile('C:\Documents and Settings\SavoL\Главное меню\Программы\Автозагрузка\9w1id0z.exe','');
QuarantineFile('C:\Documents and Settings\SavoL\Главное меню\Программы\Автозагрузка\70njee6.exe','');
QuarantineFile('C:\Documents and Settings\SavoL\Главное меню\Программы\Автозагрузка\2faa6mm.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\nyuwgkwn.sys','');
DeleteService('nyuwgkwn');
DeleteFile('C:\WINDOWS\System32\Drivers\nyuwgkwn.sys');
DeleteFile('C:\Documents and Settings\SavoL\Главное меню\Программы\Автозагрузка\0ggbssn.exe');
DeleteFile('C:\Documents and Settings\SavoL\Главное меню\Программы\Автозагрузка\2faa6mm.exe');
DeleteFile('C:\Documents and Settings\SavoL\Главное меню\Программы\Автозагрузка\70njee6.exe');
DeleteFile('C:\Documents and Settings\SavoL\Главное меню\Программы\Автозагрузка\9w1id0z.exe');
DeleteFile('C:\Documents and Settings\SavoL\Главное меню\Программы\Автозагрузка\aavmmhnj.exe');
DeleteFile('C:\Documents and Settings\SavoL\Главное меню\Программы\Автозагрузка\c6oo1k9g.exe');
DeleteFile('C:\Documents and Settings\SavoL\Главное меню\Программы\Автозагрузка\cjjaavbc.exe');
DeleteFile('C:\Documents and Settings\SavoL\Главное меню\Программы\Автозагрузка\dez1awhcc6.exe');
DeleteFile('C:\Documents and Settings\SavoL\Главное меню\Программы\Автозагрузка\fa1wssneez.exe');
DeleteFile('C:\Documents and Settings\SavoL\Главное меню\Программы\Автозагрузка\faa6mcdyy6k.exe');
DeleteFile('C:\Documents and Settings\SavoL\Главное меню\Программы\Автозагрузка\hdttpffb.exe');
DeleteFile('C:\Documents and Settings\SavoL\Главное меню\Программы\Автозагрузка\pffbrrnd.exe');
DeleteFile('C:\Documents and Settings\SavoL\Главное меню\Программы\Автозагрузка\pggbssneezq.exe');
DeleteFile('C:\Documents and Settings\SavoL\Главное меню\Программы\Автозагрузка\q3ssneezqql.exe');
DeleteFile('C:\Documents and Settings\SavoL\Главное меню\Программы\Автозагрузка\s6ee6vw7.exe');
DeleteFile('C:\Documents and Settings\SavoL\Главное меню\Программы\Автозагрузка\t0zka9w1s.exe');
DeleteFile('C:\Documents and Settings\SavoL\Главное меню\Программы\Автозагрузка\too71vmmhdd.exe');
DeleteFile('C:\WINDOWS\system32\9F9E2A\C9C2EE.EXE');
DeleteFileMask('C:\WINDOWS\system32\9F9E2A', '*.*', true);
DeleteDirectory('C:\WINDOWS\system32\9F9E2A');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscheck.zip;hijackthis.log[/COLOR])
26.11.2010, 13:43
Alexa3310

Карантин и логи приложил
26.11.2010, 15:01
миднайт

Сделайте логи при обычной загрузке операционной системы.
26.11.2010, 18:32
Alexa3310

сделал логи при обычной загрузке
26.11.2010, 18:40
миднайт

Что с проблемой?
[url=http://virusinfo.info/showthread.php?t=7239]Выполните в AVZ скрипт[/url] из файла [URL=http://dataforce.ru/~kad/ScanVuln.txt]ScanVuln.txt[/URL] и приложите к этой теме файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.
26.11.2010, 20:47
polword

- [URL="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/URL]
26.11.2010, 20:52
Alexa3310

Спасибо за помощь, все в порядке. Тему можно закрывать
27.11.2010, 20:52
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]54[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\savol\\главное меню\\программы\\автозагрузка\\aavmmhnj.exe - [B]Trojan-Downloader.Win32.Refroso.bxh[/B] ( DrWEB: Trojan.MulDrop1.53399, BitDefender: Trojan.Generic.5852210, AVAST4: Win32:Lethic-B [Trj] )[*] c:\\documents and settings\\savol\\главное меню\\программы\\автозагрузка\\cjjaavbc.exe - [B]Trojan.Win32.Agent2.lvm[/B] ( DrWEB: Trojan.MulDrop1.53399, BitDefender: Trojan.Generic.5852210, AVAST4: Win32:Lethic-B [Trj] )[*] c:\\documents and settings\\savol\\главное меню\\программы\\автозагрузка\\c6oo1k9g.exe - [B]Trojan-Downloader.Win32.Refroso.bxf[/B] ( DrWEB: Trojan.MulDrop1.53399, BitDefender: Trojan.Generic.5852210, AVAST4: Win32:Lethic-B [Trj] )[*] c:\\documents and settings\\savol\\главное меню\\программы\\автозагрузка\\dez1awhcc6.exe - [B]Trojan-Downloader.Win32.Refroso.bxj[/B] ( DrWEB: Trojan.MulDrop1.53399, BitDefender: Trojan.Generic.5852210, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Lethic-B [Trj] )[*] c:\\documents and settings\\savol\\главное меню\\программы\\автозагрузка\\faa6mcdyy6k.exe - [B]Trojan-Downloader.Win32.Refroso.bwx[/B] ( DrWEB: Trojan.MulDrop1.53399, BitDefender: Trojan.Generic.5852210, AVAST4: Win32:Lethic-B [Trj] )[*] c:\\documents and settings\\savol\\главное меню\\программы\\автозагрузка\\fa1wssneez.exe - [B]Trojan-Downloader.Win32.Refroso.bxd[/B] ( DrWEB: Trojan.MulDrop1.53399, BitDefender: Trojan.Generic.5852210, AVAST4: Win32:Lethic-B [Trj] )[*] c:\\documents and settings\\savol\\главное меню\\программы\\автозагрузка\\hdttpffb.exe - [B]Trojan.Win32.Agent2.lvm[/B] ( DrWEB: Trojan.MulDrop1.53399, BitDefender: Trojan.Generic.5852210, AVAST4: Win32:Lethic-B [Trj] )[*] c:\\documents and settings\\savol\\главное меню\\программы\\автозагрузка\\pffbrrnd.exe - [B]Trojan.Win32.Agent2.lvm[/B] ( DrWEB: Trojan.MulDrop1.53399, BitDefender: Trojan.Generic.5852210, AVAST4: Win32:Lethic-B [Trj] )[*] c:\\documents and settings\\savol\\главное меню\\программы\\автозагрузка\\pggbssneezq.exe - [B]Trojan-Downloader.Win32.Refroso.bxm[/B] ( DrWEB: Trojan.MulDrop1.53399, BitDefender: Trojan.Generic.5852210, AVAST4: Win32:Lethic-B [Trj] )[*] c:\\documents and settings\\savol\\главное меню\\программы\\автозагрузка\\q3ssneezqql.exe - [B]Trojan.Win32.Agent2.lvm[/B] ( DrWEB: Trojan.MulDrop1.53399, BitDefender: Trojan.Generic.5852210, AVAST4: Win32:Lethic-B [Trj] )[*] c:\\documents and settings\\savol\\главное меню\\программы\\автозагрузка\\s6ee6vw7.exe - [B]Trojan-Downloader.Win32.Refroso.bxe[/B] ( DrWEB: Trojan.MulDrop1.53399, BitDefender: Trojan.Generic.5852210, AVAST4: Win32:Lethic-B [Trj] )[*] c:\\documents and settings\\savol\\главное меню\\программы\\автозагрузка\\too71vmmhdd.exe - [B]Trojan-Downloader.Win32.Refroso.bxd[/B] ( DrWEB: Trojan.MulDrop1.53399, BitDefender: Trojan.Generic.5852210, AVAST4: Win32:Lethic-B [Trj] )[*] c:\\documents and settings\\savol\\главное меню\\программы\\автозагрузка\\t0zka9w1s.exe - [B]Trojan-Downloader.Win32.Refroso.bxh[/B] ( DrWEB: Trojan.MulDrop1.53399, BitDefender: Trojan.Generic.5852210, AVAST4: Win32:Lethic-B [Trj] )[*] c:\\documents and settings\\savol\\главное меню\\программы\\автозагрузка\\0ggbssn.exe - [B]P2P-Worm.Win32.Palevo.emwr[/B] ( DrWEB: Trojan.MulDrop1.53399, BitDefender: Trojan.Generic.5852210, AVAST4: Win32:Lethic-B [Trj] )[*] c:\\documents and settings\\savol\\главное меню\\программы\\автозагрузка\\2faa6mm.exe - [B]Trojan.Win32.Agent2.lvm[/B] ( DrWEB: Trojan.MulDrop1.53399, BitDefender: Trojan.Generic.5852210, AVAST4: Win32:Lethic-B [Trj] )[*] c:\\documents and settings\\savol\\главное меню\\программы\\автозагрузка\\70njee6.exe - [B]Trojan-Downloader.Win32.Refroso.bxj[/B] ( DrWEB: Trojan.MulDrop1.53399, BitDefender: Trojan.Generic.5852210, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Lethic-B [Trj] )[*] c:\\documents and settings\\savol\\главное меню\\программы\\автозагрузка\\9w1id0z.exe - [B]Trojan-Downloader.Win32.Refroso.bxh[/B] ( DrWEB: Trojan.MulDrop1.53399, BitDefender: Trojan.Generic.5852210, AVAST4: Win32:Lethic-B [Trj] )[/LIST][/LIST]