Показано с 1 по 17 из 17.

Восстановление после заражения (заявка № 72128)

  1. #1
    Junior Member Репутация
    Регистрация
    20.09.2009
    Сообщений
    70
    Вес репутации
    31

    Exclamation Восстановление после заражения

    Типичный случай.Не устанавливается/запускается Касперский.Проблемы с доступом в интернет через эксплорер.
    Помогите, пожалуйста.
    Последний раз редактировалось Mateo; 24.02.2010 в 08:51.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    1. Пожалуйста, выполните скрипт AVZ:
    Код:
    begin
     QuarantineFile('ACDV.dll', 'CHQ=N');
     QuarantineFile('appmgmts.dll', 'CHQ=N');
     QuarantineFile('ocrusp.dll', 'CHQ=N');
     QuarantineFile('C:\THE\DANCE\DeaTH.exe', 'CHQ=N');
     QuarantineFile('C:\WINDOWS\SkyTel.EXE', 'CHQ=N');
     QuarantineFile('C:\WINDOWS\tsnpstd3.exe', 'CHQ=N');
     QuarantineFile('C:\WINDOWS\System32\appmgmts.dll', 'CHQ=N');
     QuarantineFile('C:\WINDOWS\System32\appmgr.dll', 'CHQ=N');
     QuarantineFile('C:\WINDOWS\system32\XP-F7FD2548.EXE', 'CHQ=N');
     QuarantineFile('C:\WINDOWS\system32\drivers\iuhpfi.sys', 'CHQ=N');
     QuarantineFile('C:\WINDOWS\system32\drivers\massfilter.sys', 'CHQ=N');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\ZTEusbmdm6k.sys', 'CHQ=N');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\ZTEusbnmea.sys', 'CHQ=N');
     QuarantineFile('C:\autorun.inf', 'CHQ=N');
     QuarantineFile('C:\RECYCLER\S-1-5-21-1639504051-1109607785-730640891-4998\wingn.exe', 'CHQ=N');
     QuarantineFile('C:\Program Files\Messenger\msmsgs.exe', 'CHQ=N');
     BC_QrFile('C:\THE\DANCE\DeaTH.exe');
     BC_QrFile('C:\WINDOWS\System32\appmgmts.dll');
     BC_QrFile('C:\WINDOWS\System32\appmgr.dll');
     BC_QrFile('C:\WINDOWS\system32\XP-F7FD2548.EXE');
     BC_QrFile('C:\WINDOWS\system32\drivers\iuhpfi.sys');
     BC_QrFile('C:\WINDOWS\system32\drivers\massfilter.sys');
     BC_QrFile('C:\WINDOWS\system32\DRIVERS\ZTEusbmdm6k.sys');
     BC_QrFile('C:\WINDOWS\system32\DRIVERS\ZTEusbnmea.sys');
     BC_QrFile('C:\autorun.inf');
     BC_QrFile('C:\RECYCLER\S-1-5-21-1639504051-1109607785-730640891-4998\wingn.exe');
     ExecuteWizard('TSW', 3, 3, true);
     BC_Activate;
     RebootWindows(true);
    end.
    В ходе выполнения скрипта компьютер перезагрузится.
    2. Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
    3. В протоколе обнаружено много неопознанных файлов, рекомендуется выполнить http://virusinfo.info/index.php?page=uploadclean

  4. #3
    Junior Member Репутация
    Регистрация
    20.09.2009
    Сообщений
    70
    Вес репутации
    31
    Карантин выслал.Загрузку чистых файлов подготавливаю.Спасибо за быстрое реагирование.

    Добавлено через 13 минут

    Чистые файлы загрузил.Данные:
    Файл сохранён как 100224_093017_virusinfo_files_CREDIT_4b84c77988c4d .zip
    Размер файла 3699491
    MD5 6d78563b57bdb80fcd570728315db218
    Последний раз редактировалось Mateo; 24.02.2010 в 09:36. Причина: Добавлено

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Выгрузите антивирус и/или Файрвол
    - Закройте все программы
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
      QuarantineFile('C:\autorun.inf','');
     QuarantineFile('C:\WINDOWS\vsnpstd3.exe','');
     QuarantineFile('C:\WINDOWS\tsnpstd3.exe','');
     QuarantineFile('C:\WINDOWS\system32\XP-F7FD2548.EXE','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-1639504051-1109607785-730640891-4998\wingn.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\iuhpfi.sys','');
     StopService('abp470n5');
     DeleteService('abp470n5');
     DeleteFile('C:\WINDOWS\system32\drivers\iuhpfi.sys');
     DeleteFile('C:\RECYCLER\S-1-5-21-1639504051-1109607785-730640891-4998\wingn.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
     DeleteFile('C:\autorun.inf');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

    - Сделайте лог Gmer

  6. #5
    Junior Member Репутация
    Регистрация
    20.09.2009
    Сообщений
    70
    Вес репутации
    31
    Карантин выслал.
    Лог GMER прикрепляю.
    Касперский все еще не работает.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    Сохраните текст ниже как 1.bat в ту же папку, где находится hsk3difi.exe (GMER) и запустите этот батник(1.bat):

    Код:
    hsk3difi.exe -del service haueuby 
    hsk3difi.exe-del file "C:\WINDOWS\system32\qabdvfzu.dll"
    hsk3difi.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\haueuby\Parameters"
    hsk3difi.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\haueuby"
    hsk3difi.exe -del reg "HKLM\SYSTEM\CurrentControlSet002\Services\haueuby\Parameters"
    hsk3difi.exe -del reg "HKLM\SYSTEM\CurrentControlSet002\Services\haueuby"
    hsk3difi.exe -reboot
    Компьютер перезагрузится

    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
    - Сделайте новый лог Gmer

  8. #7
    Junior Member Репутация
    Регистрация
    20.09.2009
    Сообщений
    70
    Вес репутации
    31
    Логи прикрепил.
    Лог Gmer вышлю позже так-как это опять на 3 часа процедура.

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    1. Профиксите в HijackThis как "профиксить в HiJackThis"
    Код:
     O4 - HKCU\..\Run: [Internet Security Service] C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe
     O4 - HKLM\..\Run: [XP-F7FD2548] C:\WINDOWS\system32\XP-F7FD2548.EXE
    2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Выгрузите антивирус и/или Файрвол
    - Закройте все программы
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Internet Security Service');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

    Добавлено через 2 минуты

    поищите файл
    Код:
    C:\WINDOWS\system32\XP-F7FD2548.EXE
    , можете с помощью AVZ.
    AVZ => Сервис => Поиск файлов на диске. В поле "Параметры поиска" введите имя файла и нажмите на "Пуск"
    найденный файл заархивируйте в zip архив с паролем и пришлите virus по ссылке Прислать запрошенный карантин вверху темы
    Последний раз редактировалось polword; 24.02.2010 в 14:57. Причина: Добавлено

  10. #9
    Junior Member Репутация
    Регистрация
    20.09.2009
    Сообщений
    70
    Вес репутации
    31
    Примите логи и карантин.Лог Gmer был сделан до исполнения Ваших последних инструкций.Указанный файл что-то быстро не нашел. Попробую еще.

  11. #10
    Junior Member Репутация
    Регистрация
    20.09.2009
    Сообщений
    70
    Вес репутации
    31
    Карантин не загружается.Пишет- уже загружен.может переименовать?

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Посмотрите - он не пустой?

  13. #12
    Junior Member Репутация
    Регистрация
    20.09.2009
    Сообщений
    70
    Вес репутации
    31
    Не пустой.Пишет, что файл с таким именем уже загружен, что ,собсвенно, так и есть, так-как я отсылал карантин до этого.
    Касперский, кстати, запустился после удаления и повторной установки.
    Большое спасибо всем кто помогал.Комп был изрядно убит вирусами, и я уже не особо надеялся на благополучный исход.Снова ваша победа

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    пришлите файл C:\WINDOWS\system32\XP-F7FD2548.EXE если он есть, как написано в посте №8. В остальном в логах чисто.

    Добавлено через 2 минуты

    вот это
    Windows XP SP2
    Internet Explorer v6.00 SP2
    - надо срочно обновить

    - SP2 обновите до Service Pack 3(может потребоваться активация)
    - поставте все последние обновления системы Windows - тут
    * Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)

    - Установите Internet-Explorer 8.(даже если Вы его не используете)

    Добавлено через 46 секунд

    пока не обновитесь, будете постоянным клиентом этого ресурса
    Последний раз редактировалось polword; 24.02.2010 в 17:47. Причина: Добавлено

  15. #14
    Junior Member Репутация
    Регистрация
    20.09.2009
    Сообщений
    70
    Вес репутации
    31
    Файл отсутсвует.Уж не поэтому ли?
    [QUOTE=polword;592818]1. Профиксите в HijackThis как "профиксить в HiJackThis"

    Код:
     O4 - HKCU\..\Run: [Internet Security Service] C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe
    
     O4 - HKLM\..\Run: [XP-F7FD2548] C:\WINDOWS\system32\XP-F7FD2548.EXE
    Обновляюсь уже.Еще раз большое спасибо!

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    этим мы убрали его из автозапуска

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    после обновления сделайте новый комплект логов

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 16
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\autorun.inf - Trojan.Win32.AutoRun.aba ( BitDefender: Trojan.AutorunINF.Gen )


  • Уважаемый(ая) Mateo, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Проверка после заражения.
      От Andran в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 03.11.2011, 09:12
    2. после заражения вирусом
      От White--007 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 03.10.2009, 06:51
    3. Чистка после заражения
      От IgorKr в разделе Вредоносные программы
      Ответов: 5
      Последнее сообщение: 26.01.2009, 08:54
    4. Восстановление компьютера после заражения вирусом
      От Семёныччччч в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 21.03.2008, 15:24

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01159 seconds with 16 queries