-
взломан комп
Здравствуйте! Комп давно притормаживал, но стоял Каспер с лицензионным ключом, поэтому не было подозрения на вирусы, но, проконсультировавшись со специалистом и попав на Ваш сайт, после проверки триалом Др Вэбом обнуружена и удалена куча вирусов. Теперь система выдает ошибки, безопасный режим вырублен, Вэб не выгружается при скане AVZ-ом. В отчете AVZ-открыт доступ анонимному пользователю, подменен диспетчер задач и еще куча всего(((((
Да, и базы AVZ не обновляются((((
-
[url=http://z-oleg.com/secur/avz/download.php]Отсюда[/url] архив со свежими базами скачайте.
-
Базы обновлены. Новые логи прикрепяляю.
-
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\cfdrive32.exe','');
QuarantineFile('C:\WINDOWS\system32\70.exe','');
QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-8436892030-9942426271-300082217-8058\syscr.exe','');
QuarantineFile('E:\Мои документы\Мои рисунки\швейное\отделка\Алфавит фэнтези\FA193\Thumbs.db','');
QuarantineFile('Netsis.sys','');
DeleteFile('C:\RECYCLER\S-1-5-21-8436892030-9942426271-300082217-8058\syscr.exe');
DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
DeleteFile('C:\WINDOWS\system32\70.exe');
DeleteFile('C:\WINDOWS\cfdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([B]virusinfo_syscheck.zip[/B]; [B]hijackthis.log[/B])
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"][B]Gmer[/B][/URL]
- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][B]MBAM[/B][/URL]
-
Скрипты выполнены.
Вот новые логи.
-
[QUOTE=polword;690730]
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"][B]Gmer[/B][/URL]
- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][B]MBAM[/B][/URL][/QUOTE]
логи не все....
-
вот)
а %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs не загружался, поэтому заархивирован %%%
-
1. Сохраните текст ниже как [B][COLOR="DeepSkyBlue"]1.bat[/COLOR][/B] в ту же папку, где находится [B][COLOR="Blue"]5umw02yz.exe (GMER)[/COLOR][/B] и запустите этот батник(1.bat):
[CODE]
5umw02yz.exe -del service tvbsiqrtd
5umw02yz.exe -del file "C:\WINDOWS\System32\nymqb.dll"
5umw02yz.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\tvbsiqrtd"
5umw02yz.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\tvbsiqrtd"
5umw02yz.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\tvbsiqrtd"
5umw02yz.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\tvbsiqrtd"
5umw02yz.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\tvbsiqrtd"
5umw02yz.exe -reboot[/CODE]
Компьютер перезагрузится.
После перезагрузки:
2.[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\RECYCLER\S-1-5-21-3382209064-2977920203-010012004-7628\syscr.exe ','');
QuarantineFile('C:\RECYCLER\S-1-5-21-8436892030-9942426271-300082217-8058\syscr.exe','');
DeleteFileMask('C:\RECYCLER\S-1-5-21-3382209064-2977920203-010012004-7628', '*.*', true);
DeleteDirectory('C:\RECYCLER\S-1-5-21-3382209064-2977920203-010012004-7628');
DeleteFile('C:\RECYCLER\S-1-5-21-3382209064-2977920203-010012004-7628\syscr.exe ');
DeleteFile('C:\RECYCLER\S-1-5-21-8436892030-9942426271-300082217-8058\syscr.exe');
DeleteFileMask('C:\RECYCLER\S-1-5-21-8436892030-9942426271-300082217-8058', '*.*', true);
DeleteDirectory('C:\RECYCLER\S-1-5-21-8436892030-9942426271-300082217-8058');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
3. [URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]удалите[/URL] в [B]MBAM[/B], что останется из нижеперечисленного
[CODE]
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Trojan.Agent) -> No action taken.
Зараженные файлы:
C:\RECYCLER\S-1-5-21-3382209064-2977920203-010012004-7628\syscr.exe (Worm.Autorun.B) -> No action taken.
C:\RECYCLER\S-1-5-21-8436892030-9942426271-300082217-8058\syscr.exe (Worm.Autorun.B) -> No action taken.
[/CODE]
- Сделайте повторный лог [B]virusinfo_syscheck.zip[/B];
- Сделайте повторный лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][B]MBAM[/B][/URL]
-
-
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\WINDOWS\system32\14.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- Сделайте повторный лог [B]virusinfo_syscheck.zip[/B];
-
-
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Program Files\Good-Luck.ru\Chinese Coin\Chinese Coin.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-5304017112-7950936686-343912572-8884\syscr.exe');
DeleteFile('C:\WINDOWS\system32\27.exe');
DeleteFile('C:\WINDOWS\system32\07.exe');
DeleteFileMask('C:\RECYCLER\S-1-5-21-5304017112-7950936686-343912572-8884', '*.*', true);
DeleteDirectory('C:\RECYCLER\S-1-5-21-5304017112-7950936686-343912572-8884');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторный лог [B]virusinfo_syscheck.zip[/B];
- сделайте лог [URL="http://virusinfo.info/showthread.php?t=58309"][B]Combofix[/B][/URL]
-
Только у меня Др Вэб не выгружается(((( Снимаю галки с автозагрузки, но он все равно грузится((
лог
-
[QUOTE=polword;691469]
- сделайте лог [URL="http://virusinfo.info/showthread.php?t=58309"][B]Combofix[/B][/URL][/QUOTE]
еще такой лог
-
карантин загружен. Вот лог
-
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
[CODE]
KillAll::
File::
c:\windows\system32\syscache.exe
Driver::
Netsis
NetSvc::
Folder::
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3280:TCP"=-
FileLook::
DirLook::[/CODE]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
-
сделано.
Др Вэб кричит об инфицированных рециклерах((
Последний лог авза.
-
Выполните в AVZ скрипт из файла [url=http://dataforce.ru/~kad/ScanVuln.txt]ScanVuln.txt[/url].
Пройдитесь по ссылкам в протоколе AVZ и установите обновления.
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедится, что уязвимости устранены.
Закройте все программы кроме браузера с этой странцей. Запустите AVZ. Выполните скрипт через меню Файл:
[code]begin
SetAVZGuardStatus(True);
ExecuteWizard('TSW', 2, 2, true);
QuarantineFile('%System32%\sfc_os.dll','');
QuarantineFile('%System32%\sfcfiles.dll','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0154442275-5746550318-849443491-0348\syscr.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0154442275-5746550318-849443491-0348\syscr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку [color=red][b]Прислать запрошенный карантин[/b][/color], вверху этой темы.
Обновите базы AVZ.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
-
Браузеры не загружали страницы-Др Вэб фаервол блокировал их после включения Брандмауера.))
Последний лог. Только базы AVZа не обновляются(((
-
[QUOTE]Восстановление системы: включено[/QUOTE]
- [B][COLOR="Red"] Отключите системное восстановление!!![/COLOR][/B][URL="http://virusinfo.info/pravila_old.html"] как- посмотреть можно тут[/URL]
Скопируйте текст ниже в блокнот и сохраните как файл с названием [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на рабочий стол.
[CODE]
KillAll::
File::
C:\WINDOWS\system32\77.exe
Driver::
NetSvc::
tvbsiqrtd
Folder::
Registry::
FileLook::
DirLook::[/CODE]
После сохранения переместите [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на пиктограмму [B]ComboFix.exe[/B].
[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
-
Восстановление уже отключено после просмотра последнего скана avz))
-
Чисто
- [URL="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/URL]
-
:D Да! компик не тормозит!!!! Страницы быстро обновляются!!!!))) Неужели добили окончательно зверя???? :O
И безопасный режим фунциклирует!!!!!
Большое спасибо за помощь!!!!!!!!!!!!!!! Как хорошо, когда все работает!!!!!!!!!!
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]22[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\recycler\\s-1-5-21-0154442275-5746550318-849443491-0348\\syscr.exe - [B]P2P-Worm.Win32.Palevo.atnu[/B] ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Generic.4905465, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Trojan-gen )[*] c:\\recycler\\s-1-5-21-3382209064-2977920203-010012004-7628\\syscr.exe - [B]P2P-Worm.Win32.Palevo.atkb[/B] ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Injector.ZK, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )[/LIST][/LIST]
Page generated in 0.00385 seconds with 10 queries