Последствия вирусов.

[ma-goo]

Здравствуйте. В начале декабря подхватила вирус-требовал отправку смс и запускался отсчёт времени. Не запускались никакие *.exe-приложения и диспетчер задач. После установки второй винды избавилась от вируса. Через день появился баннер plagin.exe, удалила. Теперь загружается процесс svchost.exe, который занимает память процессора. Помогите, пожалуйста.

[gjf]

- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Пофиксите в HiJackThis:

Код:

R3 - URLSearchHook: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
O3 - Toolbar: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)

- Выполните скрипт AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
 StopService('mssrvc');
 QuarantineFile('C:\WINDOWS\system32\drivers\mssrvc.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\mssrvc.sys');
 QuarantineFile('CC:\WINDOWS\system32\uubai.dlls','');
 BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('mssrvc');
 SetAVZPMStatus(true);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); {IE - запретить запуск программ и файлов в IFRAME без запроса}
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); {IE - запретить загрузку неподписанных элементов ActiveX}
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); {IE - запретить загрузку неподписанных элементов ActiveX}
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); {IE - запретить загрузку подписанных элементов ActiveX без запроса}
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); {IE - запретить использование ActiveX, не помеченных как безопасные}
 BC_Activate;
 RebootWindows(true);
end.

Система перезагрузится.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи согласно Правил (Диагностика)
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антивирус и Файрволл
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно Правил (Приложение 3).
- Прикрепите новые логи к новому сообщению в этой ветке.

[ma-goo]

Загрузите карантин согласно Правил (Приложение 3) - когда я запускаю AVZ, из меню "Файл" -> "Просмотр карантина", там пусто.

[snifer67]

Выполните скрипт в avz

Код:

begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\uubai.dll','');
DeleteFile('C:\WINDOWS\system32\uubai.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

AVZ => Файл => Мастер поиска и устранения проблем. Категория - "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить


Сделайте новые логи.

[ma-goo]

Новые логи.

[Bratez]

Пофиксите в HijackThis:

Код:

O20 - AppInit_DLLs: C:\WINDOWS\system32\uubai.dll

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('E:\Program Files\LeechLLC:mstorr.exe:$DATA');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=64026).
Повторите лог syscure (п.1 раздела Диагностика).

[ma-goo]

Карантин прислала.
Лог выполнила.

[gjf]

В логах чисто. Что с проблемами?

[ma-goo]

Во вложении print screen диспетчера файлов. Проц загружен на 97%. Проблема та же.

[gjf]

Сделайте лог с помощью GMER.
gmer.log

[ma-goo]

Сделать лог не получается. При запуске вылетает ошибка.
gmer.exe - обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства.
Сведения об ошибке:
AppName: gmer.exe
AppVer: 1.0.15.15281
ModName: gmer.exe
ModVer: 1.0.15.15281
Offset: 0005c887

[миднайт]

Выгружайте все защитные приложения при запуске гмер! Если ошибка повториться, попробуйте сделать лог из безопасного режима.

[ma-goo]

Извините, но ничего не получилось...
Выгрузила все защитные приложения, та же ошибка. В безопасном режиме тоже ошибка.

[миднайт]

Попробуем так. Временно деинсталлируйте DAEMON Tools. Сделайте лог гмер, скачав с сайта http://www.gmer.net/ утилиту со случайным именем.

[ma-goo]

Получилось. Спасибо за совет. Лог с помощью gmer во вложении

[gjf]

В логе ничего вредоносного не обнаружено.

[ma-goo]

gjf, snifer67, Bratez, миднайт, спасибо Вам!
Думаю, тему можно закрыть

[gjf]

Миссия выполнена
Вы можете отблагодарить хелперов, которые Вам помогли, нажав им на кнопку "Спасибо", а также и весь проект VirusInfo вот тут.
Рекомендуется изменить все используемые пароли, поскольку теоретически зловред мог их отправить злоумышленникам. Также, рекомендуется провести полную проверку системы антивирусом.
Установите все последние обновления системы Windows и используемых программ. И вообще, постарайтесь выполнить все советы, указанные здесь - это максимально отдалит время нашей следующей с Вами встречи