На компьютере были вирусы, помогите, пожалуйста почистить остатки.
Лог Гмера привести не могу( только начинается сканирование, доходит до определённого момента и он вылетает с ошибкой.
Printable View
На компьютере были вирусы, помогите, пожалуйста почистить остатки.
Лог Гмера привести не могу( только начинается сканирование, доходит до определённого момента и он вылетает с ошибкой.
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\SSVICHOSST.exe','');
DelBHO('{88888888-8888-8888-8888-888888888888}');
QuarantineFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка-\password.url','');
QuarantineFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка-\info-my.url','');
QuarantineFile('C:\WINDOWS\system32\021.tmp','');
DeleteService('wqmlzpezf');
QuarantineFile('C:\WINDOWS\system32\01F.tmp','');
DeleteService('weyajk');
QuarantineFile('C:\WINDOWS\system32\0B.tmp','');
DeleteService('vzhzavg');
QuarantineFile('C:\WINDOWS\system32\0C.tmp','');
DeleteService('vvvmzzli');
QuarantineFile('C:\WINDOWS\system32\022.tmp','');
DeleteService('tgjujkddd');
QuarantineFile('C:\WINDOWS\system32\0F.tmp','');
DeleteService('sovlbukw');
QuarantineFile('C:\WINDOWS\system32\04.tmp','');
DeleteService('rtzpds');
QuarantineFile('C:\WINDOWS\system32\01.tmp','');
DeleteService('qyzpup');
QuarantineFile('C:\WINDOWS\system32\09.tmp','');
DeleteService('opruekut');
QuarantineFile('C:\WINDOWS\system32\019.tmp','');
DeleteService('obxdvbdg');
QuarantineFile('C:\WINDOWS\system32\014.tmp','');
DeleteService('nvnketwwm');
QuarantineFile('C:\WINDOWS\system32\015.tmp','');
DeleteService('mbfkxd');
QuarantineFile('C:\WINDOWS\system32\017.tmp','');
DeleteService('jyigbm');
QuarantineFile('C:\WINDOWS\system32\01C.tmp','');
DeleteService('jrcdzvz');
QuarantineFile('C:\WINDOWS\system32\06.tmp','');
DeleteService('jpeyg');
QuarantineFile('C:\WINDOWS\system32\02.tmp','');
DeleteService('jffawete');
QuarantineFile('C:\WINDOWS\system32\016.tmp','');
DeleteService('hbuixp');
QuarantineFile('C:\WINDOWS\system32\020.tmp','');
DeleteService('gkjbbnejr');
QuarantineFile('C:\WINDOWS\system32\0A.tmp','');
DeleteService('geqwzqhc');
QuarantineFile('C:\WINDOWS\system32\010.tmp','');
DeleteService('fppqybcfg');
QuarantineFile('C:\WINDOWS\system32\018.tmp','');
DeleteService('fnoyxyo');
QuarantineFile('C:\WINDOWS\system32\07.tmp','');
DeleteService('fivgvlba');
QuarantineFile('C:\WINDOWS\system32\08.tmp','');
DeleteService('ejprl');
QuarantineFile('C:\WINDOWS\system32\013.tmp','');
DeleteService('dzcvpd');
QuarantineFile('C:\WINDOWS\system32\01E.tmp','');
DeleteService('dylshxkeb');
QuarantineFile('C:\WINDOWS\system32\0D.tmp','');
DeleteService('dkaaqbl');
QuarantineFile('C:\WINDOWS\system32\01B.tmp','');
DeleteService('ceueogtuf');
QuarantineFile('C:\WINDOWS\system32\05.tmp','');
QuarantineFile('C:\WINDOWS\system32\012.tmp','');
DeleteService('bxdjcwcyu');
DeleteService('bvlamfn');
QuarantineFile('C:\WINDOWS\system32\01A.tmp','');
DeleteService('bqonxhd');
QuarantineFile('C:\WINDOWS\system32\011.tmp','');
DeleteService('aoagwx');
QuarantineFile('C:\WINDOWS\system32\01D.tmp','');
DeleteService('aeveb');
QuarantineFile('C:\Program Files\Webalta\WebaltaUpdaterService.exe','');
DeleteService('WebaltaController');
DeleteFile('C:\Program Files\Webalta\WebaltaUpdaterService.exe');
DeleteFile('C:\WINDOWS\system32\01D.tmp');
DeleteFile('C:\WINDOWS\system32\011.tmp');
DeleteFile('C:\WINDOWS\system32\01A.tmp');
DeleteFile('C:\WINDOWS\system32\012.tmp');
DeleteFile('C:\WINDOWS\system32\05.tmp');
DeleteFile('C:\WINDOWS\system32\01B.tmp');
DeleteFile('C:\WINDOWS\system32\0D.tmp');
DeleteFile('C:\WINDOWS\system32\01E.tmp');
DeleteFile('C:\WINDOWS\system32\013.tmp');
DeleteFile('C:\WINDOWS\system32\08.tmp');
DeleteFile('C:\WINDOWS\system32\07.tmp');
DeleteFile('C:\WINDOWS\system32\018.tmp');
DeleteFile('C:\WINDOWS\system32\010.tmp');
DeleteFile('C:\WINDOWS\system32\0A.tmp');
DeleteFile('C:\WINDOWS\system32\020.tmp');
DeleteFile('C:\WINDOWS\system32\016.tmp');
DeleteFile('C:\WINDOWS\system32\02.tmp');
DeleteFile('C:\WINDOWS\system32\06.tmp');
DeleteFile('C:\WINDOWS\system32\01C.tmp');
DeleteFile('C:\WINDOWS\system32\017.tmp');
DeleteFile('C:\WINDOWS\system32\015.tmp');
DeleteFile('C:\WINDOWS\system32\014.tmp');
DeleteFile('C:\WINDOWS\system32\019.tmp');
DeleteFile('C:\WINDOWS\system32\09.tmp');
DeleteFile('C:\WINDOWS\system32\01.tmp');
DeleteFile('C:\WINDOWS\system32\04.tmp');
DeleteFile('C:\WINDOWS\system32\0F.tmp');
DeleteFile('C:\WINDOWS\system32\022.tmp');
DeleteFile('C:\WINDOWS\system32\0C.tmp');
DeleteFile('C:\WINDOWS\system32\0B.tmp');
DeleteFile('C:\WINDOWS\system32\01F.tmp');
DeleteFile('C:\WINDOWS\system32\021.tmp');
DeleteFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка-\info-my.url');
DeleteFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка-\password.url');
DeleteFile('C:\WINDOWS\system32\SSVICHOSST.exe');
DeleteFile('C:\Windows\Tasks\At1.job');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи + лог [URL="http://virusinfo.info/showthread.php?t=40118"]gmer[/URL]
Карантин прислал:Файл сохранён как100219_235429_virus_4b7efa8563af8.zipРазмер файла75109MD5924164afe7d219cfe8f69efe08d204a4[LEFT]Gmer так же вылетел с ошибкой (
[/LEFT]
[QUOTE='localnetlock;589620']Gmer так же вылетел с ошибкой ([/QUOTE]Защитный софт отключаете? Если не помогает, пробуйте в безопасном режиме
[QUOTE=thyrex;589631]Защитный софт отключаете? Если не помогает, пробуйте в безопасном режиме[/QUOTE]
Защитный софт я временно удалил, в безопасном режиме тоже вылетает ошибка (
Лечитесь так [url]http://support.kaspersky.ru/kis2009/error?qid=208636215[/url]
А после всего сделать логи или уже не нужно и причина точно известна?
Сообщите результаты лечения и новые логи сделаете после лечения
КидоКиллер ничего не нашёл и Гмер попрежнему вылетает с ошибкой, тоесть ничего не изменилось(
Запустите [B]KK.exe -t -l log.txt -v[/B]
Новый лог приложите.
Gmer всё так же не работает(( может это не результат работы вирусов, а просто какой то глюк в системе? Может попробовать какой-нибудь другой утилитой проверить компьютер на наличие руткитов?
Лог от КидоКиллера
Не приметили, в каком месте сканирования вылетает gmer?
После 3-4 секунд работы, он успевает проверить, если смотреть на строчку снизу лишь ветку реестра System\CurrentControlSet, не знаю полностью или нет, но в строке бегают названия лишь в этой ветке, и вылетает ошибка
Сделайте такой лог [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url]
я 2 раза запускал [B]combofix[/B], до установки консоли восстановления и после, прикладываю логи первой и второй проверки
Забыл сказать, оба раза во время проверки после шага
"Completed Stage_2" и до "Completed Stage_3" (как я понял это уже на 3 шаге) выдаётся ошибка:
"PEV.cfxxe: PEV.cfxxe- обранужена ошибка. Приложение будет закрыто. Приносим извинения за неудобства"
c:\windows\system32\winlogon.exe запакуйте с паролем virus и пришлите по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
[size="1"][color="#666686"][B][I]Добавлено через 13 минут[/I][/B][/color][/size]
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. (спасибо [B]snifer67[/B] :))
[CODE]
KillAll::
File::
c:\windows\system32\0E.tmp
NetSvcs::
jonve
mnhhjyyq
Driver::
jonve
mnhhjyyq
qabxnqt
Folder::
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1375:TCP"=-
FileLook::
DirLook::
[/CODE]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
Карантин прислал, вторую часть сообщения сейчас сделаю...
карантин сохранился:
Файл сохранён как100223_215440_virus_4b84247093dd6.zipРазмер файла300474MD555c523e29e8941b54d26e2efc5721d6d
Лог прикрепляю, но ошибка:
"во время проверки после шага
"Completed Stage_2" и до "Completed Stage_3" (как я понял это уже на 3 шаге) выдаётся ошибка:
"PEV.cfxxe: PEV.cfxxe- обранужена ошибка. Приложение будет закрыто. Приносим извинения за неудобства""
Осталась(
Через AVZ пройдем.
В AVZ выполните скрипт:
[code]
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{710EB7A1-45ED-11D0-924A-0020AFC7AC4D}');
DelBHO('{C94E154B-1459-4A47-966B-4B843BEFC7DB}');
QuarantineFile('C:\Program Files\AskSearch\bin\DefaultSearch.dll','');
DeleteFile('C:\Program Files\AskSearch\bin\DefaultSearch.dll');
DeleteFile('c:\windows\system32\0E.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
AddToLog(inttostr(BC_ServiceKill('jonve')) );
AddToLog(inttostr(BC_ServiceKill('ymwyjwm')) );
SaveLog(GetAVZDirectory+'avz_log.txt');
BC_Activate;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.
[/code]
После перезагрузки повторите лог virusinfo_syscheck.zip
Выполнил
C:\WINDOWS\system32\winlogon.exe заражен пока неизвестным инфектором.
[QUOTE=thyrex;592894]C:\WINDOWS\system32\winlogon.exe заражен пока неизвестным инфектором.[/QUOTE]
Интересно) значит надо послать этот файл вирусным лабораториям?
Может я попробую тогда с диска восстановить оригинальный файл?
Правда тут система Хом Эдишн, а у меня диск только с Профешнл. Может подойдёт файл?
Похоже ложное срабатывание.
Система лицензионная или сборка?
Virustotal дал только 1 результат из 42:
Symantec 20091.2.0.41 2010.02.24 Suspicious.Insight
[url]http://www.virustotal.com/ru/analisis/2d048c4e480fd0fc8cfd20e51b94e6311241173917783cf17e284b8eceacfb9b-1267020080[/url]
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
[QUOTE=thyrex;592927]Похоже ложное срабатывание.
Система лицензионная или сборка?[/QUOTE]
Вот это не знаю, по идее лицензионная должна быть, с новым компьютером была OEM вроде.
Украшалок никаких на систему не ставили, которые могли пропатчить системный файл?
[QUOTE=thyrex;593225]Украшалок никаких на систему не ставили, которые могли пропатчить системный файл?[/QUOTE]
Нет, я попытался заменить этот файл со здоровой системы и получил всплывающее окошко что через 30 дней нужно активировать систему, похоже что это крякнутая винда) Это и опознавалось как возможное заражение)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]76[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]