Подозрительный файл desktop.ini в папке GAC

Printable View

08.09.2013, 16:35
SerDiman

Подозрительный файл desktop.ini в папке GAC

Добрый день! Помогите очистить вирусы. После полного сканера Dr.Web CureIt! обнаружены два подозрительных файла, они обезврежены, но они появляются после перезагрузки ПК. Прилагаю скриншот отчета и логи.
08.09.2013, 16:36
Info_bot

Уважаемый(ая) [B]SerDiman[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
08.09.2013, 16:47
mike 1

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол ([URL]http://virusinfo.info/showthread.php?t=130828[/URL])

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL] в АВЗ:

[CODE]
var j:integer; NumStr:string;
begin
for j:=0 to 999 do
begin
if j=0 then
NumStr:='CurrentControlSet' else
if j<10 then
NumStr:='ControlSet00'+IntToStr(j) else
if j<100 then
NumStr:='ControlSet0'+IntToStr(j) else
NumStr:='ControlSet'+IntToStr(j);
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
end;
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wscsvc') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wscsvc');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wscsvc', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wscsvc исправлено на оригинальное.');
end;
end;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
end.
[/CODE]

[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки: файл [B]fystemRoot.log[/B] из папки AVZ прикрепите.

Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])

Сделайте лог GMER ([url]http://virusinfo.info/showthread.php?t=40118[/url])
08.09.2013, 19:20
SerDiman

Файл fystemRoot.log пустой
08.09.2013, 21:07
mike 1

Выполните еще раз скрипт из 3 сообщения только в этот раз запускайте AVZ от имени Администратора через контекстное меню проводника.

[LIST=1][*]Скачайте [url=http://media.kaspersky.com/utilities/VirusUtilities/RU/tdsskiller.exe]TDSSKiller[/url][*]Запустите файл [B][I]TDSSKiller.exe[/I][/B].[*]Нажмите кнопку "[b]Начать проверку[/b]". Не меняйте настройки сканирования по умолчанию.[*]В процессе проверки могут быть обнаружены объекты двух типов:[list][*]вредоносные (точно было установлено, какой вредоносной программой поражен объект);[*]подозрительные (тип вредоносного воздействия точно установить невозможно).[/list][*]По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.[*]Для вредоносных объектов утилита автоматически определяет действие: [b]Лечить[/b] или [b]Удалить[/b].[*]Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию [b]Пропустить[/b]).[*][B][COLOR="Red"]Самостоятельно без указания консультанта ничего не удаляйте!!![/COLOR][/B][*]После нажатия кнопки [b]Продолжить[/b] утилита выполняет выбранные действия и выводит результат.[*]Прикрепите лог утилиты к своему следующему сообщению[/list]По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: [i]ИмяУтилиты.Версия_Дата_Время_log.txt[/i]
Например, [i]C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt[/i]
08.09.2013, 22:46
SerDiman

Файл fystemRoot.log тоже пустой файл. Прилагаю лог TDSSKiller

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

После TDSSkiller я просканировал D.Web CureIt! и удалил autorun.ini, и больше не появляется. Именно помогала программа TDSSkiller! Спасибо большое! Поддерживаю проект! :)
09.09.2013, 00:28
thyrex

Выполните [URL="http://safezone.cc/forum/showthread.php?t=9188"]скрипт[/URL]
09.09.2013, 01:04
SerDiman

[b]thyrex[/b], выполнил...
09.09.2013, 01:10
mike 1

Прикрепите текстовый файл [B]Correct_wuauserv&BITS.log[/B]. Папку [B]TDSSKiller_Quarantine[/B] в корне системного раздела запакуйте в архив с паролем [B]virus[/B] и пришлите согласно приложения 2 "[B]Прислать запрошенный карантин[/B]".

Сделайте новые логи AVZ

Сделайте новый лог TDSSKiller
09.09.2013, 11:41
SerDiman

Новая проблема, в Chrome при загрузке любого файла пишет ошибка: Не удалось выполнитьь проверку на вирусы, я удалил Chrome и папку Chrome из Program Files и Users и ставил его - бесполезно, в других браузерах всё нормально качаются. Из папки каратнтина антивирус один файл удалил, его восстановить не могу, в карантине пусто.
Файлы не могу прикрепить, выдает ошибка при отправке файлов в вирусинфо......
09.09.2013, 13:58
mike 1

Попробуйте загрузить отчеты на [url]http://www.rhgost.ru[/url] , а полученную ссылку прикрепить на форуме.
09.09.2013, 17:04
SerDiman

C другого ПК нормально отправились файлы. Почему?
09.09.2013, 18:43
mike 1

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол ([URL]http://virusinfo.info/showthread.php?t=130828[/URL])

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL] в АВЗ:

[CODE]
begin
BackupRegKey('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\BITS','Parameters_1');
BackupRegKey('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\wuauserv','Parameters_2');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RebootWindows(false);
end.
[/CODE]

[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После выполнения в папке avz появится папка [B]Backup[/B] в которой будет еще одна папка с датой выполнения этого скрипта, в которой в свою очередь будут reg-файлы. Запакуйте их в архив и прикрепите в сообщении.
09.09.2013, 19:41
SerDiman

Прилагаю
09.09.2013, 22:20
mike 1

Вложений: 1

1. Создайте точку восстановления системы. Для этого нажмите [B]Пуск[/B]=>[B]Все программы[/B]=>[B]Стандартные[/B]=>[B]Служебные[/B]=>[B]Восстановление системы[/B]. В окне Восстановление системы выберете "[B]Создать точку восстановления[/B]" задайте ей имя и нажмите "[B]Создать[/B]".

2. Отключите Антивирус и Файрвол ([URL]http://virusinfo.info/showthread.php?t=130828[/URL])

3. Скачайте и распакуйте архив из вложения. В архиве лежат 2 файла запустите оба файла от имени Администратора, затем перезагрузите компьютер и после этого сделайте новые логи AVZ.
10.09.2013, 00:55
SerDiman

Инструкция по созданию точки восстановления системы не та. это по моему в другой системе, в Win 7 [url]http://netler.ru/ikt/windows7-system-restore-point.htm[/url]. Извините за это, просто хочу Вам помочь исправить инструкцию.

Новые логи прилагаю...
10.09.2013, 01:00
mike 1

Наконец-то получилось восстановить. :) Что сейчас с проблемой?
10.09.2013, 01:13
SerDiman

Спасибо! :) Система нормально работает! Проблема в Хроме, может дело в настройках и реестре, разберусь. 8)
10.09.2013, 01:15
mike 1

Попробуйте обновления установить. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL] в AVZ при наличии доступа в интернет:

[CODE]var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
10.09.2013, 13:09
SerDiman

Лога нет, т.е. блокнот не открывается, и такого нет файла после выполнения скрипта...значит обновления не нужны? Может я пробую переустановить все эти программы? Или как?

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Я погуглил в инете и нашел очень похожую проблему [url]http://virusinfo.info/showthread.php?t=142214[/url] и запустил IE, там тоже не качаются файлы, ошибку выдает (см. скрин) в службах нет такой службы :( . как вернуть её? В opera нормально качаются файлы.

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Службу "Служба базовой фильтрации" вернул http://forum.oszone.net/thread-233926.html, но проблема в скачках файлов осталась...только в IE и Chrome, в хроме пишет "Ошибка: не удалось выполнить проверку на вирусы", а в IE "Файл содержал вирус и был удален", причем я скачал файлы с официальных доверенных сайтов.

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Я запустил ComboFix, и он удалил звери, теперь файлы качаются, прилагаю лог

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Всё нормально качаются файлы в браузерах. Что мне дальше делать? Мне прислать карантин от ComboFix Вам? И MBAM просканировать?
10.09.2013, 15:24
SerDiman

На ноуте всё чисто? Жду! Через 20 минут, его отдам коллеге. :)
10.09.2013, 16:13
mike 1

[B]C:\TDSSKiller_Quarantine[/B] запакуйте в zip архив с паролем [B]virus[/B] и пришлите согласно Приложения 2 по красной ссылке "[B]Прислать запрошенный карантин[/B]".

+ Выполните скрипт в AVZ:

[CODE]
begin
SetAVZGuardStatus(true);
QuarantineFile('c:\windows\UC.PIF','');
QuarantineFile('c:\windows\RAR.PIF','');
QuarantineFile('c:\windows\NOCLOSE.PIF','');
QuarantineFile('c:\windows\LHA.PIF','');
QuarantineFile('c:\windows\ARJ.PIF','');
QuarantineFile('c:\windows\System32\user32.dll','');
QuarantineFile('c:\windows\winsxs\x86_microsoft-windows-user32_31bf3856ad364e35_6.1.7601.17514_none_cf3fd62ccb9e983d\user32.dll','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:

[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]

Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы.