вирусы!

Printable View

24.02.2012, 11:25
sinthetic

Вложений: 1

вирусы!

Здравствуйте!
Подскажите пожалуйста, что с этим делать?
[ATTACH=CONFIG]352596[/ATTACH]
24.02.2012, 11:26
Info_bot

Уважаемый(ая) [B]sinthetic[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
24.02.2012, 11:57
thyrex

[url]http://virusinfo.info/pravila.html[/url]
25.02.2012, 15:23
sinthetic

Вложений: 3

Все сделал
[ATTACH]352811[/ATTACH]
[ATTACH]352812[/ATTACH]
[ATTACH]352813[/ATTACH]
25.02.2012, 20:06
thyrex

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('H:\WINDOWS\apppatch\flkjhqy.exe','');
QuarantineFile('H:\Documents and Settings\User\Application Data\Ywda\deyzs.exe','');
DeleteFile('H:\Documents and Settings\User\Application Data\Ywda\deyzs.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','{DE317A1E-B1F7-8095-9767-75615BC3F7DD}');
DeleteFile('H:\WINDOWS\apppatch\flkjhqy.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','run');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','System','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
26.02.2012, 11:47
sinthetic

Вложений: 2

virus отправил по красной ссылке
логи сделал:
[ATTACH]352913[/ATTACH]
[ATTACH]352914[/ATTACH]
26.02.2012, 12:32
thyrex

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('H:\WINDOWS\system32\jzhfeod.dll','');
QuarantineFile('H:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\Srge6Se2s0E.exe','');
QuarantineFile('H:\Documents and Settings\User\Application Data\CoreVorbis.exe','');
DeleteFile('H:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\Srge6Se2s0E.exe');
DeleteFile('H:\WINDOWS\system32\jzhfeod.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

[url]http://virusinfo.info/showthread.php?t=115256[/url] тоже сделайте
27.02.2012, 13:39
sinthetic

Вложений: 4

все сделал, "virus.zip" отправил по красной ссылке
[ATTACH]353073[/ATTACH]
[ATTACH]353074[/ATTACH]
[ATTACH]353075[/ATTACH]
[ATTACH]353076[/ATTACH]
27.02.2012, 22:46
sinthetic

ну так что дальше??
28.02.2012, 00:45
thyrex

Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]
07.03.2012, 00:32
sinthetic

Вложений: 1

Сделал
[ATTACH]354451[/ATTACH]
07.03.2012, 00:40
thyrex

Скопируйте текст ниже в Блокнот и сохраните как файл с названием [B]CFScript.txt[/B] на диск С.
[code]KillAll::

File::
h:\documents and settings\User\Главное меню\Программы\Автозагрузка\68OGp2fp4hs.exe
h:\windows\system32\1DA.tmp
h:\windows\system32\1DD0.tmp

Driver::

Folder::
H:\lTfyTmneTr8iHk2
h:\documents and settings\User\Application Data\lTfyTmneTr8iHk2
H:\cMBraRPzEAwXdfL

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"dee47ab2"=-

FileLook::

DirLook::[/code]
После сохранения переместите [B]CFScript.txt[/B] на пиктограмму ComboFix.exe.
[img]http://safezone.cc/images/cfscript.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
07.03.2012, 16:41
sinthetic

Вложений: 1

сделал
[ATTACH]354560[/ATTACH]
07.03.2012, 16:55
regist

что с проблемой ?
09.03.2012, 11:26
sinthetic

Вложений: 1

сканирование Smart nod32 ничего не нашло, но после перезагрузки снова появилась угроза в памяти
[ATTACH=CONFIG]354722[/ATTACH]
09.03.2012, 12:32
thyrex

Сделайте лог [url="http://support.kaspersky.ru/faq/?qid=208639606"]TDSSkiller[/url]
10.03.2012, 22:49
sinthetic

Вложений: 1

сделал
[ATTACH]354996[/ATTACH]
11.03.2012, 11:55
Techno

[URL="http://virusinfo.info/showthread.php?t=53070"][B]Сделайте лог полного сканирования MBAM[/B][/URL].

Повторите ComboFix.
14.03.2012, 22:34
sinthetic

Вложений: 1

[ATTACH]355617[/ATTACH]

ну что?
15.03.2012, 20:29
thyrex

Вас просили сделать и новый лог ComboFix
26.03.2012, 13:04
sinthetic

Вложений: 1

Извиняюсь за задержку.. вот выслал лог ComboFix
[ATTACH]357256[/ATTACH]
26.03.2012, 13:36
regist

Скопируйте текст ниже в Блокнот и сохраните как файл с названием [B]CFScript.txt[/B] на диск С.
[code]
KillAll::

File::

Driver::

Folder::
H:\XHvd9X07dGCcanw
h:\documents and settings\User\Application Data\XHvd9X07dGCcanw

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"dee47ab2"=-

FileLook::

DirLook::
Reboot::
[/code]
После сохранения переместите [B]CFScript.txt[/B] на пиктограмму ComboFix.exe.
[img]http://safezone.cc/images/cfscript.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.

эти DNS вам знакомы? [I]88.80.32.3 88.80.32.12 [/I]
26.03.2012, 14:28
sinthetic

[QUOTE=regist;879216]
эти DNS вам знакомы? [I]88.80.32.3 88.80.32.12 [/I][/QUOTE]

трудно сказать.. так то компьютер не мой, даже не рядом со мной находится.. и его пользователь вряд ли сможет ответить.
Можно конечно спросить установлен ли у них какой нибудь роутер или еще что, которому нужен такой днс. Или посмотреть удаленно как настроен сетевой адаптер.

Где именно можно днс этот увидеть?
26.03.2012, 14:35
regist

Если лично вам или пользователю они не знакомы, то можете уточнить у провайдера пользователя принадлежат они ему или нет. Днс должны отображаться в настройках сетевого подключения.
26.03.2012, 22:50
sinthetic

Вложений: 1

[ATTACH]357338[/ATTACH]
28.03.2012, 08:56
sinthetic

В настройках сетевого подключения таких цифр нет, там все автоматически.
И проблема все еще не устранена. Nod32 выдает:

Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » explorer.exe( 1788 ) вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа очистка невозможна HOME-C855799D07\User
28.03.2012, 12:31
thyrex

ComboFix уже успел устареть

Скачайте новый и сделайте новый лог
28.03.2012, 15:16
regist

[quote="regist;879226"]Если лично вам или пользователю они не знакомы, то можете уточнить у провайдера пользователя принадлежат они ему или нет.[/quote]
всё [B]жду ответа[/B] на вопрос ;)
[quote]знакомы 88.80.32.3 88.80.32.12 ?[/quote]
28.03.2012, 21:27
sinthetic

а как узнать новая это версия или нет? в инете хоть и пишется при скачивании что якобы "последняя версия". Но как проверить?
28.03.2012, 21:40
thyrex

Просто скачайте утилиту еще раз
03.04.2012, 20:10
sinthetic

Вложений: 1

сделал
[ATTACH]358402[/ATTACH]

насчет DNS не знакомо
04.04.2012, 16:47
regist

Скопируйте текст ниже в Блокнот и сохраните как файл с названием [B]CFScript.txt[/B] на диск С.
[code]
KillAll::

File::

Driver::

Folder::
h:\documents and settings\User\Application Data\XHvd9X07dGCcanw
H:\XHvd9X07dGCcanw

Registry::

FileLook::

DirLook::
Reboot::
[/code]
После сохранения переместите [B]CFScript.txt[/B] на пиктограмму ComboFix.exe.
[img]http://safezone.cc/images/cfscript.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
07.04.2012, 16:04
sinthetic

ну что дальше?
07.04.2012, 16:46
Techno

Где?
[quote="regist;881603"]Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.[/quote]
09.04.2012, 21:02
sinthetic

когда файл текстовый перемещаю на ярлык, ярлык удаляется.. что делать?
09.04.2012, 22:03
Techno

Надо не на ярлык перемещать а на файл combofix.exe
10.04.2012, 22:03
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] h:\\documents and settings\\user\\главное меню\\программы\\автозагрузка\\srge6se2s0e.exe - [B]Trojan-Ransom.Win32.PornoAsset.dus[/B] ( DrWEB: Trojan.VbCrypt.96, BitDefender: Trojan.Generic.KDV.536614, NOD32: Win32/Injector.OEQ trojan, AVAST4: Win32:VB-ABHW [Trj] )[*] h:\\windows\\system32\\jzhfeod.dll - [B]Trojan-Ransom.Win32.Cidox.dsk[/B] ( DrWEB: Trojan.Mayachok.1, BitDefender: Trojan.Generic.7220411, NOD32: Win32/Agent.SFM trojan, AVAST4: Win32:Kryptik-HHQ [Trj] )[/LIST][/LIST]