Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Букет вирусов (заявка № 65372)

  1. #1
    Junior Member Репутация
    Регистрация
    28.12.2009
    Сообщений
    11
    Вес репутации
    30

    Thumbs up Букет вирусов

    Здравствуйте,

    Помогите, пожалуйста, избавиться от странностей на компьютере.

    Они начали проявлять себя после того как домой была принесена подозрительная флешка. Стоял антивирус avast. Он определил, что на флешке есть подозрительный файл. Название начиналось со слова recycler, затем длинное сочетание символов. В тот момент внимание на это не обратили, поскольку доверяли владельцу флешки. После этого на всех флешках и дисках, которые мы формотировали на компьютере появлялся подобный файл (recycler), а также autorun.inf. Avast перестал обновляться - пришлось его удалить. Пропобовали установить другие антивирусы, но ничего не получилось. Либо не можем открыть сайты антивирусных программ либо не запускается файл установки антивируса.
    Удалось просканировать компьютер с помощью диска mini cd drweb. Он обнаружил три вируса: Trojan.killFiles.990, Win32.HLLW.Shadow.bases и DLOADER.Trojan. В каких файлах они были внимание не обратили. А файлы удалили с помощю того же mini cd drweb. Однако после этого изменений не произошло. Удалось установить антивирус Avira, но у него не обновлялась база и не запускалась система защиты. На флешки также продолжает копироваться recycler. Когда начались все эти беды с вирусами, также перестали запускаться некоторые из уже ранее установленных программ - никакой реакции на нажатие exe файла.

    Следуя вашим инструкциям, в безопасном режиме drweb cureit ничего не нашел. А AVP tool не смогли скачать - ссылка не работала.
    AVZ не запустился. Также не заработал и полиморфный AVZ.
    Удалось установить и запустить HiJackThis - лог приложен.

    Спасибо.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,359
    Вес репутации
    3019
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. #3
    Junior Member Репутация
    Регистрация
    28.12.2009
    Сообщений
    11
    Вес репутации
    30
    А что делать, если данный сайт не работает? т.е. не открываются ссылки, ничего не скачивается?

    Brothers13

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,359
    Вес репутации
    3019
    Утилита во вложении
    Последний раз редактировалось thyrex; 04.04.2010 в 21:43.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    28.12.2009
    Сообщений
    11
    Вес репутации
    30
    thyrex,
    программа что-то отсканировала, удалила 1 файлик и 1 запись в реестре, как сделать лог или записать все - не знали, поэтому не записали.. после этого вроде все заработало! и сайты, и программа avz - даже антивирус avira удалось скачать и установить...
    теперь нужно логи из avz сделать?

  7. #6
    Junior Member Репутация
    Регистрация
    28.12.2009
    Сообщений
    11
    Вес репутации
    30
    вот логи

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,359
    Вес репутации
    3019
    Все пароли смените как можно быстрее

    Пофиксите в Hijack
    Код:
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.apeha.ru
    O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
    O20 - AppInit_DLLs: winmm.dll
    Сделайте лог gmer
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    28.12.2009
    Сообщений
    11
    Вес репутации
    30
    thyrex,
    а пароли нужно менять все в Интернете или в windows и почте (thebat!) - тоже?

    Новые логи приложены.
    А еще после чистки компьютера от вирусов avz, утилитой kateskiller, обнаружилась новая проблема при загрузке флешок, дисков и подключении usb (сканер и т.п.) - скрин в приложении (1.jpg)

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    Сохраните текст ниже как cleanup.bat в ту же папку, где находится wepqdzbw.exe (gmer)

    Код:
    wepqdzbw.exe -del service  ssngwbx   
    wepqdzbw.exe -del file "C:\WINDOWS\system32\dmpczd.dll"
    wepqdzbw.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ssngwbx"
    wepqdzbw.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ssngwbx"
    wepqdzbw.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\ssngwbx"
    wepqdzbw.exe -reboot
    И запустите cleanup.bat. Компьютер перезагрузится. Сделать новый лог gmer

  11. #10
    Junior Member Репутация
    Регистрация
    28.12.2009
    Сообщений
    11
    Вес репутации
    30
    текстовый файл с таким названием не стал запускаться и что-то делать, поэтому сделали так как указано в инструкции в форуме для GMER.
    Вот новый лог gmer

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    Цитата Сообщение от Brothers13 Посмотреть сообщение
    текстовый файл с таким названием не стал запускаться и что-то делать
    При сохранении надо выбирать "Тип файла--Все файлы"
    В логе чисто, зачистим кое-что, выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DelCLSID('3041d03e-fd4b-44e0-b742-2d9b88305f98');
    DeleteFilemask('C:\Program Files\AskBarDis','*.*', true);
    DeleteDirectory('C:\Program Files\AskBarDis');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Что с проблемой?

  13. #12
    Junior Member Репутация
    Регистрация
    28.12.2009
    Сообщений
    11
    Вес репутации
    30
    скрипт выполнили в avz. изменений с возникновением ошибки не произошло - возникает при включении флешки (диска) и при отключении.

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    Посмотрите в Диспетчере устройств, если появилось новое оборудование--удалите его, затем обновите конфигурацию оборудования.

  15. #14
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,359
    Вес репутации
    3019
    И вот это попробуйте

    Выполните скрипт в AVZ
    Код:
    begin
    ExecuteREpair(19);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  16. #15
    Junior Member Репутация
    Регистрация
    28.12.2009
    Сообщений
    11
    Вес репутации
    30
    К сожалению, после указанных действий ничего не изменилось...

  17. #16

  18. #17
    Junior Member Репутация
    Регистрация
    28.12.2009
    Сообщений
    11
    Вес репутации
    30
    лог приложен

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    Удалите в MBAM
    Код:
    Заражено ключей реестра:
    HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook (Adware.Ecobar) -> No action taken.
    HKEY_CLASSES_ROOT\TypeLib\{4509d3cc-b642-4745-b030-645b79522c6d} (Adware.Ecobar) -> No action taken.
    HKEY_CLASSES_ROOT\Interface\{4897bba6-48d9-468c-8efa-846275d7701b} (Adware.Ecobar) -> No action taken.
    HKEY_CLASSES_ROOT\CLSID\{ca3eb689-8f09-4026-aa10-b9534c691ce0} (Adware.Ecobar) -> No action taken.
    HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook.1 (Adware.Ecobar) -> No action taken.
    HKEY_CLASSES_ROOT\CLSID\{be83c3b6-0f77-436c-88b1-a56124a743cb} (Password.Stealer) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{be83c3b6-0f77-436c-88b1-a56124a743cb} (Password.Stealer) -> No action taken.
    
    Заражено параметров реестра:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.
    Сделайте лог MBAM

    Выполните следующее:
    1. кнопка Пуск - Выполнить ввести cmd нажать Enter;
    2. ввести chkdsk c: /r /f нажать Enter. Выскочит сообщение вида:"Невозможно выполнить команду chkdsk ......"
    Нажмите клавишу Y;
    3. введите exit затем нажать Enter;
    4. перезагрузите ПК, во время перезагрузки будет выполнена проверка и исправление ошибок.

  20. #19
    Junior Member Репутация
    Регистрация
    28.12.2009
    Сообщений
    11
    Вес репутации
    30
    сделали все, как написано. Лог приложен.
    После этого правда ничего не изменилось, однако проблему похоже нашли - после удаления утилитки panda usb vaccine - ошибка исчезла :0)

    подскажите еще пожалуйста какие пароли нужно менять? только в интернете? или в thebat тоже?
    больше по логам никаких проблем не видно?

  21. #20
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    Цитата Сообщение от Brothers13 Посмотреть сообщение
    подскажите еще пожалуйста какие пароли нужно менять? только в интернете? или в thebat тоже?
    Для надежности смените все пароли.
    Еще вызывает сомнение данный файл C:\Program Files\WebMoney Advisor\tbhelper.dll
    Вот что написано по этому плагинуЛучше удалить.

  • Уважаемый(ая) Brothers13, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Букет вирусов
      От brutal_ в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 10.05.2012, 20:34
    2. Букет вирусов
      От Ulja в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 22.07.2010, 19:15
    3. букет вирусов
      От Artur Z. в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 22.02.2009, 09:01
    4. Букет из 5 вирусов
      От vvb в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 31.01.2009, 13:40
    5. Букет вирусов
      От art1k в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 04.11.2008, 20:05

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00049 seconds with 16 queries