Показано с 1 по 13 из 13.

Помогите, пожалуйста, победить заразу! (заявка № 30247)

  1. #1
    Junior Member Репутация
    Регистрация
    15.09.2008
    Сообщений
    6
    Вес репутации
    34
    Здравствуйте!
    Подцепил какую-то гадость: антивирус NOD32 постоянно обнаруживает и удаляет некие последствия, но не причину проблемы. Появляется сообщение в панели задач 'Your computer is infected....'. Ранее уже было такое упоминание в одной из тем.
    Выполнил правила. HiJack автоматом не сохранил лог, а показал его в блокноте, поэтому он в формате тхт. Надеюсь, это не проблема. Помогите, пожалуйста.

    Большое спасибо!

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    А где логи-то?

  4. #3
    Junior Member Репутация
    Регистрация
    15.09.2008
    Сообщений
    6
    Вес репутации
    34

    Логи

    Прошу прощения за обращение без логов: пытался загрузить, но не вышло. Сорвали с места по работе, пришлось просто все бросить, к сожалению. Надеюсь, сейчас логи приложатся
    Спасибо большое за понимание!
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winyw41.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winwc72.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Winui33.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Winrh88.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Winjy03.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Winhf38.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winap26.sys','');
     QuarantineFile('C:\DOCUME~1\Andrey\LOCALS~1\Temp\loader.exe','');
     QuarantineFile('C:\WINDOWS\services.exe','');
     QuarantineFile('C:\WINDOWS\system32\7z.exe','');
     QuarantineFile('C:\WINDOWS\system32\blphc7g2j0eaag.scr','');
     QuarantineFile('C:\WINDOWS\system32\braviax.exe','');
     QuarantineFile('C:\WINDOWS\system32\lphc7g2j0eaag.exe','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('syslink.dll','');
     QuarantineFile('C:\WINDOWS\winlogon.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\symavc32.sys','');
     DeleteService('AppMgmtCOMSysApp');
     DeleteService('CiSvcTermService');
     DeleteService('CryptSvcNtmsSvc');
     DeleteService('FastUserSwitchingCompatibilitySchedule');
     DeleteService('FastUserSwitchingCompatibilitywscsvc');
     DeleteService('helpsvcPolicyAgent');
     DeleteService('lanmanserverTapiSrv');
     DeleteService('LVSrvLauncherRSVPstisvc');
     DeleteService('Messengerwinmgmt');
     DeleteService('Messengerwuauserv');
     DeleteService('NetlogonERSvc');
     DeleteService('Nlawuauserv');
     DeleteService('osemsupdate');
     DeleteService('PlugPlayHidServ');
     DeleteService('PmlRSVP');
     DeleteService('PmlRSVPSharedAccess');
     DeleteService('RasManSSDPSRV');
     DeleteService('RasManSSDPSRVSwPrv');
     DeleteService('RemoteAccessERSvc');
     DeleteService('RemoteRegistryNOD32krn');
     DeleteService('RSVPstisvc');
     DeleteService('SamSsSwPrv');
     DeleteService('SamSsSwPrvPlugPlayHidServ');
     DeleteService('SCardSvrLVSrvLauncherRSVPstisvc');
     DeleteService('ScheduleSysmonLog');
     DeleteService('TermServiceNetlogon');
     DeleteService('ThemesERSvc');
     DeleteService('TrkWksPlugPlay');
     DeleteService('winmgmtDcomLaunch');
     DeleteService('winmgmtDcomLaunchCryptSvc');
     DeleteService('WmiApSrvEventSystem');
     DeleteService('WmiNtmsSvc');
     DeleteService('symavc32');
     DeleteService('Winyw41');
     DeleteService('Winwc72');
     DeleteService('Winui33');
     DeleteService('Winrh88');
     DeleteService('Winjy03');
     DeleteService('Winhf38');
     DeleteService('Winap26');
     DeleteFile('C:\WINDOWS\winlogon.exe');
     DeleteFile('syslink.dll');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('C:\WINDOWS\system32\lphc7g2j0eaag.exe');
     DeleteFile('C:\WINDOWS\system32\braviax.exe');
     DeleteFile('C:\WINDOWS\system32\blphc7g2j0eaag.scr');
     DeleteFile('C:\WINDOWS\system32\7z.exe');
     DeleteFile('C:\WINDOWS\services.exe');
     DeleteFile('C:\DOCUME~1\Andrey\LOCALS~1\Temp\loader.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winap26.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winhf38.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winjy03.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winrh88.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winui33.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winwc72.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winyw41.sys');
    BC_ImportAll;
    ExecuteSysClean; 
     BC_DeleteSvc('AppMgmtCOMSysApp');
     BC_DeleteSvc('CiSvcTermService');
     BC_DeleteSvc('CryptSvcNtmsSvc');
     BC_DeleteSvc('FastUserSwitchingCompatibilitySchedule');
     BC_DeleteSvc('FastUserSwitchingCompatibilitywscsvc');
     BC_DeleteSvc('helpsvcPolicyAgent');
     BC_DeleteSvc('lanmanserverTapiSrv');
     BC_DeleteSvc('LVSrvLauncherRSVPstisvc');
     BC_DeleteSvc('Messengerwinmgmt');
     BC_DeleteSvc('Messengerwuauserv');
     BC_DeleteSvc('NetlogonERSvc');
     BC_DeleteSvc('Nlawuauserv');
     BC_DeleteSvc('osemsupdate');
     BC_DeleteSvc('PlugPlayHidServ');
     BC_DeleteSvc('PmlRSVP');
     BC_DeleteSvc('PmlRSVPSharedAccess');
     BC_DeleteSvc('RasManSSDPSRV');
     BC_DeleteSvc('RasManSSDPSRVSwPrv');
     BC_DeleteSvc('RemoteAccessERSvc');
     BC_DeleteSvc('RemoteRegistryNOD32krn');
     BC_DeleteSvc('RSVPstisvc');
     BC_DeleteSvc('SamSsSwPrv');
     BC_DeleteSvc('SamSsSwPrvPlugPlayHidServ');
     BC_DeleteSvc('SCardSvrLVSrvLauncherRSVPstisvc');
     BC_DeleteSvc('ScheduleSysmonLog');
     BC_DeleteSvc('TermServiceNetlogon');
     BC_DeleteSvc('ThemesERSvc');
     BC_DeleteSvc('TrkWksPlugPlay');
     BC_DeleteSvc('winmgmtDcomLaunch');
     BC_DeleteSvc('winmgmtDcomLaunchCryptSvc');
     BC_DeleteSvc('WmiApSrvEventSystem');
     BC_DeleteSvc('WmiNtmsSvc');
     BC_DeleteSvc('symavc32');
     BC_DeleteSvc('Winyw41');
     BC_DeleteSvc('Winwc72');
     BC_DeleteSvc('Winui33');
     BC_DeleteSvc('Winrh88');
     BC_DeleteSvc('Winjy03');
     BC_DeleteSvc('Winhf38');
     BC_DeleteSvc('Winap26');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы.
    - Прикрепите логи к новому сообщению.

  6. #5
    Junior Member Репутация
    Регистрация
    15.09.2008
    Сообщений
    6
    Вес репутации
    34
    Большое человеческое спасибо! Похоже, зараза побеждена

    С уважением,
    Андрей
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    -Пофиксите
    Код:
    O17 - HKLM\System\CCS\Services\Tcpip\..\{3AD26054-013B-43EE-979E-927AD007A7AF}: NameServer = 85.255.114.71,85.255.112.60
    O17 - HKLM\System\CCS\Services\Tcpip\..\{B28264D2-E074-4C3E-A80F-C25DBA41789C}: NameServer = 85.255.114.71,85.255.112.60
    O17 - HKLM\System\CCS\Services\Tcpip\..\{BCD52451-D8CF-47FD-AFB9-274CE14D3ACD}: NameServer = 85.255.114.71,85.255.112.60
    O17 - HKLM\System\CCS\Services\Tcpip\..\{E37372E8-E855-4EDE-B97A-F696E308B204}: NameServer = 85.255.114.71,85.255.112.60
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.71 85.255.112.60
    O20 - Winlogon Notify: syslink - C:\WINDOWS\
    - Выполните скрипт
    Код:
    begin
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки.
    - Сделайте повторные логи
    Код:
    virusinfo_syscheck.zip
    hijackthis.log
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2 п.4 правил).
    - Прикрепите логи к новому сообщению.

  8. #7
    Junior Member Репутация
    Регистрация
    15.09.2008
    Сообщений
    6
    Вес репутации
    34
    Все сделал. Карантин загрузил.
    Спасибо!
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Выполните проверку CureIt в безопасном режиме.

  10. #9
    Junior Member Репутация
    Регистрация
    15.09.2008
    Сообщений
    6
    Вес репутации
    34

    Спасибо!

    Проверил при помощи CureIt в безопасном режиме. Обнаружены только зараженные файлы в его собственном карантине. Удалены.

    Спасибо за помощь!

    С уважением,
    Андрей

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Логи после CureIt сделайте , плиз.

  12. #11
    Junior Member Репутация
    Регистрация
    15.09.2008
    Сообщений
    6
    Вес репутации
    34
    Забегался совсем
    Логи после CureIt:
    Вложения Вложения

  13. #12
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\drivers\15.exe',' ');
    QuarantineFile('C:\WINDOWS\system32\drivers\296.exe',' ');
    QuarantineFile('C:\WINDOWS\system32\drivers\390.exe',' ');
    QuarantineFile(' C:\WINDOWS\system32\drivers\937.exe',' ');
    DeleteFile(' C:\WINDOWS\system32\drivers\937.exe');
    DeleteFile('C:\WINDOWS\system32\drivers\390.exe ');
    DeleteFile('C:\WINDOWS\system32\drivers\296.exe');
    DeleteFile('C:\WINDOWS\system32\drivers\15.exe ');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(5 );
    ExecuteRepair(6 );
    RegKeyStrParamWrite('HKEY_USERS','.DEFAULT\Control Panel\Desktop','Wallpaper','');
    RebootWindows(true);
    end.
    Повторите лог virusinfo_syscure...

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 42
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\braviax.exe - Backdoor.Win32.UltimateDefender.gen (DrWEB: Trojan.Fakealert.1323)
      2. c:\\windows\\winlogon.exe - Packed.Win32.Tibs.lc (DrWEB: Trojan.Proxy.3302)


  • Уважаемый(ая) asokolov, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Помогите, пожалуйста, победить ggdrive32.exe
      От Sword в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 01.03.2011, 17:47
    2. Ответов: 12
      Последнее сообщение: 18.11.2010, 11:00
    3. Вирус a-connect - не могу победить. Помогите, пожалуйста.
      От Иван Савельев в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 10.12.2009, 00:10
    4. Помогите вылечить заразу, пожалуйста.
      От emishin в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 07.07.2009, 18:21
    5. Ответов: 46
      Последнее сообщение: 09.08.2008, 19:21

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00822 seconds with 17 queries