Помогите ПОЖАЛУЙСТА

Printable View

19.09.2007, 00:36
Попов Алексей А

Помогите ПОЖАЛУЙСТА

У меня вирус. Устанавливаю программу, а она после пререзагрузки не запкскаетсяю Установил нортон,он написал, что заражены все ехе файлы. Просканировал AVZ/ что-то обнаружил. Смотрите самию жду помощи. Да и еще всплыло окно где часы Windows Security Alert. Что это и как убрать:'-(
19.09.2007, 00:38
Попов Алексей А

Заранее спасибо!!!
19.09.2007, 00:58
drongo

Отключить антивирус.

1.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[code]
O2 - BHO: ChangerBHO Class - {0edc6c20-a31c-11db-8ab9-0800200c9a66} - C:\WINDOWS\system32\admparses.dll (file missing)
O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - C:\WINDOWS\System32\ipv6monl.dll
O2 - BHO: HttpGuard - {98B822AD-6BE7-49BC-B773-97240B774080} - C:\WINDOWS\system32\AClient.dll
O2 - BHO: WeeklyExecuter Class - {f015f320-ab08-11db-abbd-0800200c9a66} - C:\WINDOWS\inetloader.dll (file missing)
O4 - HKLM\..\Run: [C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\update.exe] C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\update.exe
O4 - HKLM\..\Run: [winlogon] C:\WINDOWS\winlogon.exe[/code]

2.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\nvtuicpl.cpl','');
QuarantineFile('C:\WINDOWS\System32\AdvUninstCPL.cpl','');
QuarantineFile('C:\WINDOWS\inetloader.dll','');
QuarantineFile('C:\WINDOWS\System32\ipv6monl.dll','');
QuarantineFile('C:\WINDOWS\system32\admparses.dll','');
QuarantineFile('C:\Program Files\Mouse Driver\Mouse Driver\3.5\MOUSE32A.EXE','');
QuarantineFile('C:\WINDOWS\CTHELPER.EXE','');
QuarantineFile('C:\WINDOWS\winlogon.exe','');
QuarantineFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\update.exe','');
QuarantineFile('c:\windows\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\AClient.dll','');
DeleteFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\update.exe');
DeleteFile('C:\WINDOWS\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\admparses.dll');
DeleteFile('C:\WINDOWS\System32\ipv6monl.dll');
DeleteFile('C:\WINDOWS\inetloader.dll');
DeleteFile('C:\WINDOWS\system32\AClient.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(9);
RebootWindows(true);
end.[/code]

Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=12570[/url]
3.Сделайте новые логи после лечения и присоедините к следующему сообщению
P.S.Хорошая приманка для зверей получилась ;)
19.09.2007, 10:23
PavelA

Нелицензионная система без СП2. Словить можно все что угодно.
я бы посоветовал провериться, загрузившись с СД CureIt-beta.
19.09.2007, 11:08
Попов Алексей А

В Hijack в Delete an NT Service какие цифры вводить?
19.09.2007, 11:14
drongo

[QUOTE='Попов Алексей А;135908']В Hijack в Delete an NT Service какие цифры вводить?[/QUOTE] зачем? 023 ведь не нет в тех строчках, которые нужно удалять.
19.09.2007, 11:52
Попов Алексей А

Все загрузил

[size="1"][color="#666686"][B][I]Добавлено через 47 секунд[/I][/B][/color][/size]

O4 - HKLM\..\Run: [winlogon] C:\WINDOWS\winlogon.exe
этой строчки у меня небыло

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

А на счет ехе файлов, это правда. Они все заражены или можно достать из карантина нортона?
19.09.2007, 12:36
PavelA

Попробуй файлик из карантина нортона заслать на virutotal.com.
Результаты сюда выложи.
19.09.2007, 13:02
Попов Алексей А

А файл какой? Любой? А логи которые прислал снова, они впорядке?
19.09.2007, 13:04
PavelA

Любой, на Ваш выбор. Я новых логов не вижу.
19.09.2007, 13:08
Попов Алексей А

Файл 0A17519C.exe получен 2007.09.19 11:05:29 (CET)
Текущий статус: Загрузка ... в очереди ожидание проверка закончено НЕ НАЙДЕНО ОСТАНОВЛЕНО

Результат: 9/32 (28.13%)
Загрузка информации...
Ваш файл в очереди на позиции: ___.
Ожидаемое время старта между ___ и ___ .
Не закрывайте окно до окончания проверки.
Сканер, который обрабатывает Ваш файл, остановлен в данный момент. Производится попытка восстановить Ваши результаты, подождите несколько секунд.
Если вы ждете более пяти минут, попробуйте прислать файл еще раз.
Ваш файл проверяется VirusTotal в данный момент,
результаты отображаются по мере генерации.
Форматированные Печать результатов
Ваш файл просрочен или не существует.
ервис остановлен в данный момент, Ваш файл ожидает проверки (позиция: ) через неопределенное время.

Вы можете подождать ответа (страница автоматически перезагрузится) или написать ваш e-mail адрес ниже и нажать "запросить" для получения оповещения об окончании проверки.
Email адрес:

Антивирус Версия Обновление Результат
AhnLab-V3 2007.9.19.0 2007.09.19 -
AntiVir 7.6.0.10 2007.09.19 W32/Hidrag.a
Authentium 4.93.8 2007.09.18 W32/Jeefo.A
Avast 4.7.1043.0 2007.09.18 -
AVG 7.5.0.485 2007.09.18 -
BitDefender 7.2 2007.09.19 Win32.Worm.Vb.DZ
CAT-QuickHeal 9.00 2007.09.18 -
ClamAV 0.91.2 2007.09.19 W32.Jeefo-3
DrWeb 4.33 2007.09.19 -
eSafe 7.0.15.0 2007.09.17 -
eTrust-Vet 31.2.5147 2007.09.19 -
Ewido 4.0 2007.09.18 -
FileAdvisor 1 2007.09.19 -
Fortinet 3.11.0.0 2007.09.19 -
F-Prot 4.3.2.48 2007.09.18 W32/Jeefo.A
F-Secure 6.70.13030.0 2007.09.19 Virus.Win32.Hidrag.a
Ikarus T3.1.1.12 2007.09.19 -
Kaspersky 4.0.2.24 2007.09.19 Virus.Win32.Hidrag.a
McAfee 5122 2007.09.18 -
Microsoft 1.2803 2007.09.19 Virus:Win32/Jeefo.A
NOD32v2 2540 2007.09.19 -
Norman 5.80.02 2007.09.18 -
Panda 9.0.0.4 2007.09.19 -
Prevx1 V2 2007.09.19 -
Rising 19.41.20.00 2007.09.19 -
Sophos 4.21.0 2007.09.19 -
Sunbelt 2.2.907.0 2007.09.15 -
Symantec 10 2007.09.19 -
TheHacker 6.2.5.062 2007.09.19 -
VBA32 3.12.2.4 2007.09.19 -
VirusBuster 4.3.26:9 2007.09.18 -
Webwasher-Gateway 6.0.1 2007.09.19 Win32.Hidrag.a
Дополнительная информация
File size: 174181 bytes
MD5: df32070f09dd57bb2e2aa2708feddbb5
SHA1: 6ab56cb1e8631dba5ea5b3a814683533fc5375d8
packers: CryptFF
packers: XORCrypt
19.09.2007, 13:10
Попов Алексей А

Вот логи
19.09.2007, 13:26
PavelA

Virus.Win32.Hidrag.a - данного зверя надо CureItом вытравлять.
Наши методы здесь слабо действуют. Это файловый вирус.
19.09.2007, 13:36
Попов Алексей А

Это как? Скажи пожалуйста, что и как делать
19.09.2007, 13:45
Numb

Скачивайте CureiT!: [url]ftp://ftp.drweb.com/pub/drweb/cureit/cureit-beta.exe[/url] (лучше скачать на заведомо чистой машине и записать на CD ) Проблемную машину [URL="http://virusinfo.info/showthread.php?t=9279"]перезагружайте в безопасном режиме[/URL] и запускайте cureit!. ВНИМАНИЕ! Данная программа сначала проводит экспресс-проверку системы, по окончании которой вы должны САМИ отметить пункт "Полная проверка" и нажать кнопку "Выполнить". Подробнее о Cureit! - здесь: [url]http://www.freedrweb.com/cureit/?lng=ru[/url]
Только в вашем случае, нужно, наверное, попробовать не Cureit!, а установить антивирус Касперского - [url]http://www.kaspersky.ru/productupdates?chapter=186544972&downlink=206910097[/url] , получить пробный ключ и провести проверку им. Судя по вашему отчету, DrWeb эту заразу еще не знает :(
19.09.2007, 13:49
PavelA

После проверки cure-It желательно ее лог прислать. Он будет находится:
пуск - выполнить - %userprofile%\DoctorWeb
19.09.2007, 13:52
Попов Алексей А

Ага спасибо! Щас попробую!!!
20.09.2007, 11:55
Попов Алексей А

Другая беда уже

После проверки CureIt и лечением всех файлов пропала командная строка (чистый экран), а explorer загружает проводник:'-(. Файлы прилагаются. Помогите плиз!!!
20.09.2007, 11:58
Попов Алексей А

Нет рабочего стола. Хотя в проводнике он открывается
20.09.2007, 12:01
PavelA

логи посмотрю. А лог Cure-It приложишь?

В AVZ Файл восст. системы п.5,8,16 отметить, нажать выполнить.
20.09.2007, 12:12
Попов Алексей А

Как мне это сделать "пуск - выполнить - %userprofile%\DoctorWeb" если у меня нет командной строки. Где он находится на жестком?
20.09.2007, 12:17
PavelA

Через Ctrl+alt+Del - новая задача -- запустить AVZ - провести восстановление. Пункты, которые надо отметить написал выше.

Профиксить в hijackthis:

F2 - REG:system.ini: Shell=
20.09.2007, 12:20
Попов Алексей А

Понял щас сделаю
20.09.2007, 12:33
Попов Алексей А

Вот лог, который вы просили. А тка вроде все нормально стало!!! Спасибо!!!! Но по файлу скажите, что там!:D:D:D
20.09.2007, 13:10
PavelA

По какому? Ты лог видел - у тебя около 2000 вирусов вылечилось.
20.09.2007, 13:33
Shu_b

[QUOTE='Попов Алексей А;136227']А тка вроде все нормально стало!!![/QUOTE]
Я бы так пока не говорил, у Вас файловый фирус - Win32.HLLP.Jeefo.36352
Вам нужно сделать полное сканирование всех дисков, и обязательно в Safe mode (защищённом режиме). Если Вы не вылечили хотя бы один исполняемый файл, то получите повторное инфицирование системы.

ps и я бы рекомендовал использовать CureIt-beta ( [url=ftp://ftp.drweb.com/pub/drweb/cureit/cureit-beta.exe]download[/url] )
20.09.2007, 13:37
PavelA

@Shu_b Лог Cure-It смотри выше. Уже им пролечились.
20.09.2007, 13:47
Shu_b

[QUOTE=PavelA;136246]@Shu_b Лог Cure-It смотри выше. Уже им пролечились.[/QUOTE]

Вы даёте гарантию что: А. пользователь во время лечения ничего не запускал и Б. процесс был прибит в памяти?
20.09.2007, 13:55
Попов Алексей А

И что мне еще раз CureIt просканировать в ждущем режиме?
20.09.2007, 14:01
PavelA

[QUOTE=Shu_b;136251]Вы даёте гарантию что: А. пользователь во время лечения ничего не запускал и Б. процесс был прибит в памяти?[/QUOTE]

Я не ГосСтрах. Гарантию никогда не даю и давать не собираюсь.
[b]Попов Алексей А[/b]
Давайте сделаем еще одну проверку Cure-It в ждущем режиме, не запуская в это время никаких программ.
20.09.2007, 14:23
Попов Алексей А

Давайте. Че-то непонятки какие-то!
20.09.2007, 14:32
drongo

можно всё удалить и последнего каспера поставить( он знает ваших зверей), где-то видел на 3 месяца бесплатно и легально без технической поддержки.
20.09.2007, 18:54
Попов Алексей А

Все CureIt проверил и написал, что вирусов нет. Это значит все?
20.09.2007, 18:56
PavelA

Надеюсь, да. Делай логи для контроля.
21.09.2007, 00:12
Попов Алексей А

Спасибо ВАМ большое!!!!!!!!!!!!!!
23.09.2007, 21:21
Попов Алексей А

Все в порядке!!! Огромный респект!!! Можете закоыть тему!!!! Еще раз спасибо ВАМ!!!!!!!!!!!!!!!!!
23.09.2007, 21:31
Alex_Goodwin

А логи для контроля?
25.09.2007, 22:34
Попов Алексей А

А какие логи? Вы скажите, я выложу.
25.09.2007, 22:37
V_Bond

сделайте заново три лога , как в вашем первом сообщении..