-
Junior Member
- Вес репутации
- 52
Многомесячный ВИРУС!!! (блокировка СейфМод, Диспт.задач и др)
Здравствуйте!
Вот уже не один месяц мучают меня (а вернее мой комп) различные зловредители! Стоит уже больше года NOD32, но назрело решение координально менять антивирус! Периодически Нода находит и вроде как удаляет различные трояны, черви и прочую нечисть, но также с постоянством они плодятся и проявляются вновь и вновь... Элементраный md.exe регулярно в корневых на всех дисках появляется, и только недавно Нода решила на него заругаться... Возможно всё началось ещё осенью, когда на раб.столе "всплыл" СМС-банер, а возможно и раньше... не знаю... Но сейчас уже порядком всё надоело, поскольку уже всё перепробывал самостоятельно и нет результатов - решил обратиться к вам.
Во первых:
загрузка в Сейф Мод уже давно для этого компа стала НЕреальностью... Поэтому по инструкции выполнить лечение в безоп. режиме не могу!
Во вторых:
недавно (до кучи) кнопка диспетчера задач из менюшки, которую вызываю по трём весёлым клавишам - стала НЕактивной. Что то и ещё есть, но это уже мелочи. Диспетчер задач - моя основная головная боль, поскольку теперьь что происходит в системе, кто или что её грузит - я не могу узнать и не могу ничего отключить...
Прошу помощи!!!
С уважением.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Пожалуйста, выполните скрипт AVZ:
Код:
begin
SearchRootkit(true, true);
QuarantineFile('\Program Files\DAEMON Tools Pro\Engine.dll', 'CHQ=N');
QuarantineFile('Mspisrrv.sys', 'CHQ=N');
QuarantineFile('D:\Setup\Orbitdownloader\GrabPro.dll', 'CHQ=N');
QuarantineFile('D:\Setup\Orbitdownloader\orbitcth.dll', 'CHQ=N');
QuarantineFile('C:\WINDOWS\System32\netprotocol.dll', 'CHQ=N');
QuarantineFile('C:\WINDOWS\system32\Drivers\FABulk.sys', 'CHQ=N');
QuarantineFile('C:\WINDOWS\System32\Drivers\Parclass.sys', 'CHQ=N');
QuarantineFile('C:\DOCUME~1\F240~1\LOCALS~1\Temp\Rar$EX00.438\ЏгўҐа Љ*«Є\winio.sys', 'CHQ=N');
QuarantineFile('C:\Documents and Settings\Я\Local Settings\Application Data\RadioSure\RadioSure.exe', 'CHQ=N');
QuarantineFile('C:\Program Files\Internet Explorer\romdrivers.dll', 'CHQ=N');
QuarantineFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL', 'CHQ=N');
QuarantineFile('C:\Program Files\Auslogics\AusLogics BoostSpeed\Integrator.exe', 'CHQ=G');
BC_QrFile('D:\Setup\Orbitdownloader\GrabPro.dll');
BC_QrFile('D:\Setup\Orbitdownloader\orbitcth.dll');
BC_QrFile('C:\WINDOWS\System32\netprotocol.dll');
BC_QrFile('C:\WINDOWS\system32\Drivers\FABulk.sys');
BC_QrFile('C:\DOCUME~1\F240~1\LOCALS~1\Temp\Rar$EX00.438\ЏгўҐа Љ*«Є\winio.sys');
BC_QrFile('C:\Program Files\Internet Explorer\romdrivers.dll');
BC_QrFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
BC_Activate;
RebootWindows(true);
end.
В ходе выполнения скрипта компьютер перезагрузится.
2. Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
3. В протоколе обнаружено много неопознанных файлов, рекомендуется выполнить http://virusinfo.info/index.php?page=uploadclean
-
-
Junior Member
- Вес репутации
- 52
... отчёт
1-Скрипт выполнен.
2-Выслан карантин: "Virus.zip" Результат загрузки
Файл сохранён как 100225_173036_virus_4b86898cf2ab4.zip
Размер файла 558294
MD5 f764622fae75a9dd2a48e4d5b1f7c0d8
3-Выслан "Автоматический сбор файлов для AVZ":
Результат загрузки
Файл сохранён как 100225_174654_virusinfo_files_DVD_4b868d5e03870.zi p
Размер файла 15236846
MD5 17277ad8983ceaf3338390fc3b303a19
Файл закачан, спасибо!
Выполнен и прикреплён новый лог "hijackthis.log"
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{D4027C7F-154A-4066-A1AD-4243D8127440}');
DelBHO('{00000000-6E41-4FD3-8538-502F5495E5FC}');
DeleteFile('C:\WINDOWS\System32\netprotocol.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Netprotocol\Parameters','ServiceDll');
DeleteFile('C:\Program Files\Ask.com\GenericAskToolbar.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(10);
ExecuteREpair(11);
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи
Последний раз редактировалось thyrex; 25.02.2010 в 22:42.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Пофиксте в HijackThis следующие строки:
F2 - REG:system.ini: F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: MyCentria Internet Mate v1.95 - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL (file missing)
Сделайте новый лог HijackThis.
Выполните в AVZ скрипт ScanVuln.txt и приложите сюда файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления (на MS Office должен быть установлен Service Pack 3).
-
-
Junior Member
- Вес репутации
- 52
thyrex, скрипт не проходит, выдаётся сообщение: "Ошибка: ';' expected в позиции 7:13"
AndreyKa, пофикстил в HijackThis предложенные строки: F2.... и O2.....
Приложение: логи HijackThis и AVZ
(в AVZ был запущен скрипт ScanVuln.txt)
... также произвёл попытку обновления MS Office Servic Pack' ом 3
-
-
-
Junior Member
- Вес репутации
- 52
AndreyKa, Да как же "решена"???
Всё только усугубляется по моему...
По прежнему диспетчер задач не активен, а значит что происходит - один Бог ведает...
Сэйф Моде не существует (ну да виг с ним уже)...
Главное - беглый запуск AVZ доказывает, что "зло живее всех живых":
Функция NtCreateKey (29) перехвачена (806222D2->BA6B50E0), перехватчик sprr.sys
.................
Функция ... и т.д ... т.д... т.д...
.............(B1) перехвачена (8062038C->BA6CE08A), перехватчик sprr.sys
Проверено функций: 284, перехвачено: 7, восстановлено: 0
А беглый взгляд на папку "Temp" из "C:\Documents and Settings\.....темp" падает на некий qktvkj.exe файлик... Переименование его через F2 выбрасывает в другие temp'овские папки, но удаление прошло...
Сделать ещё проверки?
-
Junior Member
- Вес репутации
- 52
самостоятельно выполнен скрипт "Лечения/карантина и сбора информации для..."
ЛОг прилагается.
-
Сообщение от
Wet2007
thyrex, скрипт не проходит, выдаётся сообщение: "Ошибка: ';' expected в позиции 7:13"
Прошу прощения.
Скрипт в сообщении №4 поправил. Выполняйте
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Перезапуск изменённого скрипта...
Изменённый скрипт в сообщении №4 был успешно выполнен.
Машина перегрузилась, кнопка "диспетчера задач" стала активной в вызываемом меню КНТРЛ+АЛЬТ+ДЕЛ.... (Безопасный режим не ожил...)
В загрузившемся компьютере была выполнена диагностика согласно правилам: Сначала (отключив всё), AVZ - "Скрипт лечения/карантина..." - перегрузка, затем с подкл.интернетом "Сбор информации..."
и запуск HijackThis.
Логи, полученные при этом прилагаю.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\Internet Explorer\romdrivers.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{0CD68AC9-FF63-3E61-626B-B663E62F6236}');
DeleteFile('C:\Program Files\Ask.com\UpdateTask.exe');
DeleteFileMask('C:\Program Files\Ask.com', '*.*', true);
DeleteDirectory('C:\Program Files\Ask.com');
DeleteFile('C:\Windows\Tasks\Scheduled Update for Ask Toolbar.job');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + лог http://virusinfo.info/showpost.php?p=457118&postcount=1
Последний раз редактировалось thyrex; 26.02.2010 в 00:16.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Ошибка скрипта....
Не получилось. Выдаёт "Ошибка: ';' expected в позиции 7:13"
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
thyrex, Поскольку, ожидая правки, дабы не терять времени я скачал прогу по предложенной ссылке http://virusinfo.info/showpost.php?p=457118&postcount=1 и запустил полную проверку, думаю, что времени займёт не мало, решил оставить заниматься ей с компом до утра ... Завтра уже буду запускать правленный скрипт.
Если же принципиально важно СНАЧАЛА выполнить скрипт в AVZ, а только потом уже произвести полное сканирование программой "Malwarebytes' Anti-Malware" -
прошу уведомить меня об этом.
Спасибо Вам за Вашу работу!!!
-
Не принципиально. Проверяйтесь
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
... отчёт 2
Выслал карантин после выполнения последнего скрипта:
"Результат загрузки
Файл сохранён как 100226_122315_virus_4b87930394fad.zip
Размер файла 15236846
MD5 711a90b12fe3d74ee0bac73ca14a6fd3
Файл закачан, спасибо!"
ТАкже высылаю лог, сделанный запуском (с полным обследованием) программы "mbam-setup.exe".
Сейчас сделаю логи, согласно правилам.
-
Junior Member
- Вес репутации
- 52
... логи, согласно правилам.
-
Удалите в МВАМ
Код:
Заражено ключей реестра:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{fffc57db-1de3-4303-b24d-cee6dcdd3d86} (Adware.MyCentria) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\fieryads (Adware.FieryAds) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mycentria (Adware.MyCentria) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netprotocol (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETPROTOCOL (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\MyCentria (Adware.MyCentria) -> No action taken.
Заражено папок:
C:\Program Files\FieryAds (Adware.Adware.FearAds) -> No action taken.
C:\Program Files\MyCentria (Adware.MyCentria) -> No action taken.
C:\Program Files\MyCentria\Firefox (Adware.MyCentria) -> No action taken.
C:\Program Files\MyCentria\InfoBar (Adware.MyCentria) -> No action taken.
Заражено файлов:
C:\Program Files\FieryAds\FieryAdsUninstall.exe (Adware.FieryAds) -> No action taken.
C:\Program Files\MyCentria\MyCentriaUninstall.exe (Adware.MyCentria) -> No action taken.
C:\Program Files\MyCentria\Firefox\adcentria.uid (Adware.MyCentria) -> No action taken.
C:\Program Files\MyCentria\Firefox\adcentria.xml (Adware.MyCentria) -> No action taken.
C:\Documents and Settings\Я\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken.
C:\WINDOWS\Debug\UserMode\explorer.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Удалить НЕЛЬЗЯ!
Произвести удаление в МВАМ не представляется возможным, поскольку после нажатия кнопки "Удаление выделенного" программа зависает...
Произвёл удаление перечисленных папок в ручную, а ключи в ручную прямо из реестра удалил.
Что мне следует предпринять? Сделать логи?
(компьютер не перегружал)