Вирус

Printable View

23.02.2009, 21:17
marker

Вирус

Ребята снова зараза, на етот раз еще в добавок к торможения интернета, у меня сбиваются часы, и отказываюются синхронизироватся через интеренет...
SP3 поставил, как бы где не попадя вроде бы не лажу, а ета чертовщина всё цепляется в какой раз =(
Опера ругается на поломаный файл истории, фотошоп тоже начал ругатся, и вовсе не запускается (
Да еще когда ета зараза появляется, CureIt не запускается...
23.02.2009, 21:38
Rene-gad

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]F2 - REG:system.ini: Shell=
F2 - REG:system.ini: UserInit=
O2 - BHO: D - {6C072537-C248-3AB7-BAE6-62DE9390AFE8} - C:\WINDOWS\system32\hq73162.dll
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\hq73162.dll','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1262136267-8836843372-777158306-1791\mwau.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\53728.sys','');
QuarantineFile('c:\windows\system32\system.exe','');
DeleteFile('c:\windows\system32\system.exe');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\53728.sys');
DeleteFile('C:\RECYCLER\S-1-5-21-1262136267-8836843372-777158306-1791\mwau.exe');
DelCLSID('{6C072537-C248-3AB7-BAE6-62DE9390AFE8}');
DeleteFile('C:\WINDOWS\system32\hq73162.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[CODE]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/CODE]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
23.02.2009, 22:31
marker

Сделано
Карантин отправлен
23.02.2009, 22:36
V_Bond

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-1447023319-1899356207-506897636-1048\mwau.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\08331.sys','');
TerminateProcessByName('c:\windows\system32\system.exe');
QuarantineFile('c:\windows\system32\system.exe','');
DeleteFile('c:\windows\system32\system.exe');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\08331.sys');
DeleteFile('C:\RECYCLER\S-1-5-21-1447023319-1899356207-506897636-1048\mwau.exe');
ExecuteRepair(16);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
23.02.2009, 22:51
marker

Карантин отправлен
Повторяю логи
23.02.2009, 22:59
V_Bond

установите правильную системную дату и все заново...
23.02.2009, 23:21
marker

Повтор карантина
Повтор логов
з.ы. Не могу устранить разницу в дате ,автоматически скидует всё...
23.02.2009, 23:24
V_Bond

вы хотите сказать что вы не можете перевести системную дату ?
23.02.2009, 23:26
marker

Пробую синхронизирвоать путем нажатия "Обновить" выдает ошибку
Ввожу дату время и год в ручную, после перезагрузки выдает окошко мол "Исправьте разницу в дате" и после етого снова скидует дату и время и год...(
23.02.2009, 23:28
V_Bond

установите руками дату ... перегружать ничего [U]не нужно [/U] ...
и выполняйте рекомендации
23.02.2009, 23:31
marker

Вы меня немножко не поняли
1 Устанавливаю в ручную время, месяц, год
2 выполняю скрипт
и вот после скрипта перезагружается компьютер, и дата снова обнуляется по не понянтному дефолту

Часовой пояс, и прочее все правильно...но время совсем не то...
23.02.2009, 23:33
V_Bond

скачайте [URL="http://www.ccleaner.com/"]ccleaner[/URL] удалите мусор ....
заново выполните скрипт ...
повторите virusinfo_syscheck.zip
23.02.2009, 23:59
marker

Почистил, проблема с датой осталась, повторяю лог
24.02.2009, 11:32
Rene-gad

выполните скрипт в безопасном режиме
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\system.exe');
QuarantineFile('C:\RECYCLER\S-1-5-21-5606765132-8078487197-376756464-1374\mwau.exe','');
DeleteFile('c:\windows\system32\system.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-5606765132-8078487197-376756464-1374\mwau.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
24.02.2009, 14:27
marker

Скрипт в безопасно режиме выполнен
Карантин пуст
повторяю логи
24.02.2009, 14:31
Гриша

Сделайте полную проверку AVPTool и повторите логи...
24.02.2009, 19:12
marker

Проверку сделал, повторяю логи
Ах да и вот что ребята, не подскажете как быть с датой, и что же делать с файлом истории оперы ?
24.02.2009, 19:37
Rene-gad

[QUOTE=marker;361546]
Ах да и вот что ребята, не подскажете как быть с датой[/QUOTE]А какую дату дает BIOS? Может у Вас CMOS-батарейка села? Зловредов сейчас не вижу. Может, конечно, где-то засел еще, но в логах не вижу.
Если дату восстановить удастся, то и Опера заработает. А нет - тогда format c:\ - другой возможности я не вижу.
24.02.2009, 19:54
marker

Хм...вы имеете ввиду ту единственую круглую батарейку на материнской плате ?
24.02.2009, 19:57
Rene-gad

[QUOTE=marker;361568]Хм...вы имеете ввиду ту единственую круглую батарейку на материнской плате ?[/QUOTE]Ею, родимую..:) Так что, и в Биосе время сдвинуто?
24.02.2009, 23:23
marker

К сожалению и там время сдвинуто, 2070 год 1 января часовой пояс неизвестный )
Да поставил вновь заново виндовс, диск С был обнулен, проблема с датой еще актуальна, и опера всё так же почему то ругается что у нее поврежден файл истории...вот фотошоп еще правда не запускал ( Что ето может быть ? И что придпринимать ?
Да и еще странный глюк появился, я вот открываю форум, нада обновить что бы увидить изменения, захожу в раздел опять же нада обновить дабы увидить изменения, так же и с темами (

Да и если ето как то поможет то при попытке обновить время пишет следующее: "Ошибка при выполнении синхронизации. По соображениям безопасности, Windows не может выполнить синхронизацию с етим сервером, поскольку не совпадает текущая дата. Устраните расхождение дат, и повторите попытку"

[size="1"][color="#666686"][B][I]Добавлено через 2 часа 13 минут[/I][/B][/color][/size]

Всё ребята, всё нормально я по совету гугла перезапустил службу отвечающую за время и все стало на свои места )
Огромное вам спасибо за то что вы помогаете =)
25.02.2009, 23:23
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]26[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\docume~1\admin\locals~1\temp\53728.sys - [B]Rootkit.Win32.Agent.hji[/B] (DrWEB: Trojan.NtRootKit.2692)[*] c:\recycler\s-1-5-21-1447023319-1899356207-506897636-1048\mwau.exe - [B]Trojan.Win32.Agent2.eeg[/B][*] c:\windows\system32\hq73162.dll - [B]Trojan-Downloader.Win32.Agent.bips[/B][*] c:\windows\system32\system.exe - [B]Trojan.Win32.Agent2.eeg[/B][/LIST][/LIST]