Показано с 1 по 14 из 14.

Вирус semo2x.exe (заявка № 26772)

  1. #1
    Junior Member Репутация
    Регистрация
    21.01.2008
    Адрес
    Saint-Petersburg
    Сообщений
    29
    Вес репутации
    40

    Thumbs down Вирус semo2x.exe

    Привет спасатели! У меня уже второй к вам запрос о помощи. Помогите пожалуйста победить вирус semo2x.exe.
    Я пишу из "безопасного режима с поддержкой сетевых драйверов", по-другому просто никак. Об этом ниже.

    Вначале я немного расскажу, как я его подцепил.
    С диска друга я установил программу - Photo DVD (для записи фотографий, музыки на диск). После установки программы я обнаружил, что COMODO (у меня антивирус и firewall от COMODO) справшивает меня, что internet explorer (хотя я пользуюсь Оперой) пытается подключиться к semo2x.exe. Я как-то особого значения не предал этому, был уверен, что файл semo2x.exe относится к программе Photo DVD. Я нажал "allow", то есть разрешил это действие, и дальше пошло-поехало. Это сообщение возникало много раз, что мол semo2x.exe пытается изменить и sys-файлы и много чего еще... Но, как я уже говорил, я думал, что это надо для корректного запуска программы (после "кряка").

    Теперь о последствиях.
    В результате я не могу открыть диски мои жесткие диски C, D, G. (С и D - просто поделены на 2 диска, а так у меня два "харда".) Диск G вообще воспринимается как файл. И вообще совершть какое-либо действие я не могу, ни открыть программу, не просмотреть картинку.Также отсутсвует возможность показа скрытых файлов и папок. В нормальном режиме работает только папка "Мои документы", но из нее выйти куда-то все равно нельзя. Хорошо, что друг посоветовал зайти в "безопасный режим", потому что я уже думал, что всё уже - придется только стирать диски. В "безопасном режиме" я удалил 4 файла semo2x.exe из папки C/:Windows/refetch.
    Кстати, саму программу Photo DVD я успел удалить, когда еще был даже в нормальном режиме, когда вирус не успел "сожрать" всё и вся. Так что помогите пожалуйста! Я теперь знаю, что делать, так как это моё второе к вам обращение, и прикрепляю к вам мои фалы с логами от AVZ и HijackThis. В "безопасном режиме" все работает.
    Восстановление системы отключено, логи отослал с включенной сетью, Opera и работающим firewall COMODO. (Потому что сеть отключить никак, только после перезагрузки, Антивирус не работает, выдает ошибку, наверняка из-за semo2x.exe)

    P.S. В результате проверки диска программой AVZ было удалено много вирусов-троянов, связанных с semo2x.exe, что не может меня не радовать. Кое-что было перемещено в карантин

    В AVZ при создании скрипта стояла галочка только у диска C. У диска D и G галочка по-умолчанию не стояла.
    Вложения Вложения
    Последний раз редактировалось JUNKMAN; 20.07.2008 в 18:39. Причина: дополнение информации

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,737
    Вес репутации
    2837
    1. Отключите восстановление системы и антивирус.
    2. Выполните скрипт в AVZ:
    Код:
    begin
     ClearQuarantine; 
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\amvo0.dll','');
     QuarantineFile('C:\autorun.inf','');
     QuarantineFile('D:\autorun.inf','');
     QuarantineFile('G:\autorun.inf','');
     DeleteFile('C:\WINDOWS\system32\amvo0.dll');
     DeleteFile('C:\autorun.inf');
     DeleteFile('D:\autorun.inf');
     DeleteFile('G:\autorun.inf');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!
    Пришлите карантин согласно приложению 3 правил.
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=26772

    3. Повторите логи.

    Сделайте все три лога, предварительно обновив AVZ!
    Сердце решает кого любить... Судьба решает с кем быть...

  4. #3
    Junior Member Репутация
    Регистрация
    21.01.2008
    Адрес
    Saint-Petersburg
    Сообщений
    29
    Вес репутации
    40
    Пока что результаты неутешительные (после первой проверки, что я вам прислал). В нормальном режиме ничего не работает, никакие программы, но зато открываются жесткие диски. Также я забыл сообщить о том, что в панели быстрого запуска (где показаны часы Windows) пропали все значки программ, загружаемых с Windows, включая настройку громкости звука, COMODO и т.п. Это тоже вызвано вирусом. Присылаю вам карантин, сейчас пока перезагружусь в безопасном режиме без поддержки сетевых устройств, чтобы выключить firewall COMODO и сделать новые логи.

    Также забыл добавить, что у меня не работают выключение компьютера и перезагрузка компьютера в нормальном режиме Windows из меню Пуск. При запуске какой-либо программы у меня пишут, что я якобы не имею прав на совершение этого действия.
    Последний раз редактировалось JUNKMAN; 20.07.2008 в 18:38. Причина: дополнение информации

  5. #4
    Junior Member Репутация
    Регистрация
    21.01.2008
    Адрес
    Saint-Petersburg
    Сообщений
    29
    Вес репутации
    40
    Скидываю три лога + новый карантин.
    Как бы мне восстановить запуск всех программ в нормальном режиме?
    Может в HijackThis нажать "fix" после сканирования? В безопасном режиме опять не запускается COMODO antivirus (firewall запускается нормально). При запуске антивируса COMODO выдает такую ошибку: Number CAV003 / On Access Scanner failed to start. В AVZ про semo2x.exe уже ничего не упоминалось, значит удалено, было только опять подозрение на троян в программе DivX. Действительно ли там троян? И что же мне делать дальше?

    P.S. Сейчас попозже вышлю скрипт сбора информации, что-то я не тот скрипт прислал..
    Вложения Вложения
    Последний раз редактировалось kps; 20.07.2008 в 20:07. Причина: удалил карантин

  6. #5
    Junior Member Репутация
    Регистрация
    21.01.2008
    Адрес
    Saint-Petersburg
    Сообщений
    29
    Вес репутации
    40
    Вот правильное вложение.
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1283
    Выполните скрипт в AVZ:
    Код:
    begin
    ClearQuarantine;
     QuarantineFile('C:\Program Files\DivX\DivX Converter\dpil100.dll','');
     QuarantineFile('C:\WINDOWS\system32\1BE5.tmp','');
    BC_ImportQuarantineList;
    BC_Activate;
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteRepair(1);
    RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно приложению №3 правил.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  8. #7
    Junior Member Репутация
    Регистрация
    21.01.2008
    Адрес
    Saint-Petersburg
    Сообщений
    29
    Вес репутации
    40
    Сейчас я нахожусь опять в безопасном режиме. Присылаю карантин.

    Попробовал опять запустить Windows в обычном режиме, "Мой компьютер" открывавается, открываются диски C, D, G. Но, все остальное не работает, включая просмотр свойств "Моего компьютера", Ни запуск COMODO firewall, ни другой exe-программы. И с включением-выключением компьютера опять та же ошибка.

    P.S. Самое интересное, что еще и подключение к Локальной сети никак не отключить, эта функция просто не работает.

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2502
    D:\Program Files\ThreatFire\TFService.exe - вот это попробуй деинсталлировать.
    Слишком много защиты обнаружилось: БитДефендер, Сомодо, ТреатФайр, Jetico Personal Firewall Network Monitor.

    В этом деле надо навести порядок.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация
    Регистрация
    21.01.2008
    Адрес
    Saint-Petersburg
    Сообщений
    29
    Вес репутации
    40
    Так-то TheatFire у меня удален. В Program files просто остались его "остатки". Я удалил папку из D с ThreatFire. BitDefender я скачал из интернета на рабочий стол (вчера в безопасном режиме), потом думаю его установить вместо COMODO AntiVirus. COMODO AntiVirus я удалил, на данный момент из антивирусных программ у меня стоят только COMODO Firewall и Sophos Anti-Rootkit. Jetico я что-то не нашел, да, он у меня был, но я его удалял.

    Как же мне быть дальше? В нормальном режиме ничего не работает, кроме открытия дисков и папок, не работают все exe-шные программы, не работают задачи - свойства Моего компьютера, программное включение/выключение компьютера. Локальная сеть тоже включена, отключение, параметры, состояние сети - ничто не реагирует. Может быть можно выполнить какой-нибудь скрипт в AVZ, чтобы все заработало вновь? Я помню, что у меня semo2x.exe получилось измнил и некоторые системные файлы, а как их теперь вылечить, я не знаю. Неужели придется переустанавливать Windows?

    P.S. Прикрепляю свои новые логи.
    P.P.S. На крайний случай можно еще мне попробовать сделать восстановление системы из безопасного режима, предварительно включив эту функцию. Жду ваших мнений.

    Дополнение: Восстановление системы в безопасном режиме невозможно, а в нормальном режиме как я уже говорил - ничего не работает.
    Вложения Вложения
    Последний раз редактировалось JUNKMAN; 21.07.2008 в 18:54.

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2502
    Выполнить:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\1BE5.tmp','');
     DeleteService('MEMSWEEP2');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\bcfilter.sys','');
     DeleteService('Bcfilter');
     DeleteFile('C:\WINDOWS\system32\DRIVERS\bcfilter.sys');
     DeleteFile('C:\WINDOWS\system32\1BE5.tmp');
    BC_ImportDeletedList;
    ExecuteRepair(1);
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteRepair(11);
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После этого попробуй запуск ехе-файлов и войти в диспетчер задач.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Junior Member Репутация
    Регистрация
    21.01.2008
    Адрес
    Saint-Petersburg
    Сообщений
    29
    Вес репутации
    40
    Скрипт выполнил. Попробовал зайти в Windows в нормальном режиме. Ничего не включается. Знаете, я стал думать, не изменил ли мне вирус мою учетную запись на обычного гостя? А то ошибки при запуске программ такие: "Невозможно запустить файл. Возможно у вас недостаточно полномочий". А при выключении/перезагрузке у меня пишет такую ошибку: "Выключение/перезагрузка компьютера невозможна. У вас нет прав." Хотя так-то сама учетная запись никак не "обрезана", в смысле значок приветсвия мой - ALEX, и все пиктограммы на рабочем столе видны.

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2502
    А под "Администратор" зайти в систему можно?

    Добавлено через 3 минуты

    Пишут, что помогает вот эта утилита. Ее можно и нужно запускать в защищ. режиме.
    http://downloads.andymanchesta.com/r...ools/sdfix.exe

    Добавлено через 5 минут

    Остатки TreatFire надо добить:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('TfSysMon');
     DeleteService('TfNetMon');
     DeleteService('TfFsMon');
     DeleteService('rkhdrv10');
     DeleteService('ThreatFire');
     DeleteFile('C:\WINDOWS\System32\Drivers\TfKbMon.sys');
     DeleteFile('D:\Program Files\ThreatFire\TFService.exe');
     DeleteFile('rkhdrv10.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\TfFsMon.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\TfNetMon.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\TfSysMon.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Логи надо новые будет сделать.
    Последний раз редактировалось PavelA; 21.07.2008 в 19:48. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  14. #13
    Junior Member Репутация
    Регистрация
    21.01.2008
    Адрес
    Saint-Petersburg
    Сообщений
    29
    Вес репутации
    40
    Кстати в этой теме я так и не ответил. Тогда пришлось переустанавливать систему.
    Уже не помню, но Windows было просто не запустить. Или я с утилитой той что-то натворил.
    Сейчас этого вируса нет, все чисто. Главное - блокировать его сразу же.

    Последний раз редактировалось JUNKMAN; 30.01.2009 в 14:32.

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,224
    Вес репутации
    956

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 20
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\amvo0.dll - Worm.Win32.AutoRun.bmr (DrWEB: Trojan.PWS.Wsgame.2387)


  • Уважаемый(ая) JUNKMAN, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. semo2x.exe и прочие зверушки
      От Black Jack в разделе Помогите!
      Ответов: 18
      Последнее сообщение: 22.02.2009, 06:47
    2. Ответов: 7
      Последнее сообщение: 22.02.2009, 03:24

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00075 seconds with 17 queries