Показано с 1 по 15 из 15.

Требуется срочная помощь в лечении ноута знакомого (нужно закончить до вечера 14.03) (заявка № 73483)

  1. #1
    Junior Member Репутация
    Регистрация
    05.03.2010
    Сообщений
    10
    Вес репутации
    29

    Thumbs up Требуется срочная помощь в лечении ноута знакомого (нужно закончить до вечера 14.03)

    Добрый день!
    Взял у знакомого ноут на реанимацию с жалобой на порнобаннер.
    Порнобаннер разлочил кодом, после снятия много симптомов инфекций:
    Диспетчер, реестр заблокированы, показ скрытых файлов заблокирован, безопасный режим не запускается, проблемы с выходом в интернет и многое прочее.
    Запустился с LiveCD DrWeb, прошерстил все несколько раз, потом запустился CureIt из обычного режима (безопасный недоступен).
    В результате проверок (около 4-5 проходов суммарно с разными настройками) выявлено и вылечено\удалено:

    1. Net-worm.win32.kido.ih
    2. Trojan.siggen.41497
    3. Trojan.downladl.21081
    4. Trojan.Muldrop.55458
    5. Trojan.Winlock.712
    6. Trojan.Packed.19647
    7. Trojan.Starter.1215
    8. Trojan.Browseban.based.2
    9. Backdoor.IRC.Bot.168
    10. Win32.HLLW.Autoruner.5555
    11. Trojan.Proxy.11144
    12. Win32.Sector.16
    13. Win32.Sector.12
    14. Trojan.Browseban.252
    15. Backdoor.IRC.SDbot.6107
    16. Win32.Virut.5
    17. Trojan.Proxy.956
    18. Trojan.Downloader.45546
    19. Trojan.Inject.2572
    20. Trojan.Starpage.19993
    21. Trojan.Qoologic.29

    Далее из обычного режима сделал логи хайджека и AVG. Вижу явно инфицированные файлы (plugin.exe, kemmuhof.exe, gopyfyg.exe, msdtc.exe, spce.sys и пр.), ошибки SPI/LSP, реестр и т.д.

    Возможно бы справился сам (являюсь студентом), но не уверен в своих силах, и на решение проблем мало времени (должен отдать компьютер завтра вечером) - поэтому прошу помощи в составлении плана лечения.

    Заранее спасибо.

    P.S. Также странный симптом - ноутбук подключал к интернету дома, через беспроводную сеть, при этом через 15-20 минут интернет вырубался даже на совершенно здоровом компьютере и мобильнике, спасает только ребут роутера, после этого все нормально, пока опять не подключаю инфицированный ноут. Есть ли риск для здоровых систем, подключенных к моей беспроводной сети? (в локальные сети и прочее не объединены, беспроводную использую исключительно для выхода в интернет). На здоровых системах установлен KIS последней версии, соблюдены все рекомендации этого сайта о превентивных мерах.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Профиксить:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\Admin\Cookies\userlib.dll','');
     DelBHO('{0FE8F188-6CC9-55E8-B26C-6C3E65D114E6}');
     QuarantineFile('C:\SysFiles\aRtt5j_18_TH381TF.dll','');
     QuarantineFile('C:\WINDOWS\wind7upd.exe','');
     QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
     QuarantineFile('C:\WINDOWS\system32\gopyfyg.exe','');
     QuarantineFile('C:\WINDOWS\System32\netprotocol.dll','');
     QuarantineFile('C:\Program Files\plugin.exe','');
     QuarantineFile('C:\Documents and Settings\NetworkService\Application Data\Microsoft\fyjouwi.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\imPlayok.exe','');
     DeleteService('abp470n5');
     QuarantineFile('C:\WINDOWS\system32\drivers\pqoiin.sys','');
     QuarantineFile('C:\Documents and Settings\NetworkService\Application Data\Microsoft\runougokih.exe','');
     DeleteService('uooopiaa');
     QuarantineFile('C:\WINDOWS\system32\reko.exe','');
     DeleteService('c4io4a2eezyan');
     QuarantineFile('C:\WINDOWS\system32\kemmuhof.exe','');
     DeleteFile('C:\WINDOWS\system32\kemmuhof.exe');
     DeleteFile('C:\WINDOWS\system32\reko.exe');
     DeleteFile('C:\Documents and Settings\NetworkService\Application Data\Microsoft\runougokih.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\pqoiin.sys');
     DeleteFile('C:\Documents and Settings\Admin\imPlayok.exe');
     DeleteFile('C:\Documents and Settings\NetworkService\Application Data\Microsoft\fyjouwi.exe');
     DeleteFile('C:\Program Files\plugin.exe');
     DeleteFile('C:\WINDOWS\System32\netprotocol.dll');
     DeleteFile('C:\WINDOWS\system32\gopyfyg.exe');
     DeleteFile('C:\WINDOWS\system32\sdra64.exe');
     DeleteFile('C:\WINDOWS\wind7upd.exe');
     DeleteFile('C:\SysFiles\aRtt5j_18_TH381TF.dll');
     DeleteFile('C:\Documents and Settings\Admin\Cookies\userlib.dll');
    BC_ImportAll;
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteRepair(10);
    ExecuteRepair(11);
    ExecuteRepair(16);
    ExecuteRepair(14);
    ExecuteRepair(17);
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Повторить логи после перезагрузки.
    Возможно, придется перенастраивать сеть. Если ошибки с сетью не
    исправяться, то использовать winsockxpfix.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    05.03.2010
    Сообщений
    10
    Вес репутации
    29
    Выполнил
    Вложения Вложения
    Последний раз редактировалось axnotic; 13.03.2010 в 23:59.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    270
    Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы.

  6. #5
    Junior Member Репутация
    Регистрация
    05.03.2010
    Сообщений
    10
    Вес репутации
    29
    карантин выслал

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    270
    Отключите компьютер от интернета, а также антивирус и/или файрвол.
    Закройте все программы, выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\kemmuhof.exe','');
     QuarantineFile('C:\WINDOWS\system32\msdtc.exe','');
     QuarantineFile('C:\WINDOWS\system32\wuauclt.exe','');
     QuarantineFile('C:\WINDOWS\system32\sfcfiles.dll','');
     QuarantineFile('usbmagr.exe','');
     QuarantineFile('C:\WINDOWS\system32\sysy.exe','');
     QuarantineFile('C:\WINDOWS\system32\imPlayok.exe','');
     QuarantineFile('C:\WINDOWS\system32\gopyfyg.exe','');
     SetServiceStart('tu256iiiy', 4);
     DeleteService('tu256iiiy');
     DeleteFile('C:\WINDOWS\system32\sysy.exe');
     DeleteFile('C:\WINDOWS\system32\gopyfyg.exe');
     DeleteFile('C:\WINDOWS\system32\kemmuhof.exe');
     DeleteFile('C:\WINDOWS\system32\imPlayok.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','soopa');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tujique');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','imPlayok');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. После проверьтесь KidoKiller'ом (ссылка в подписи). Сделайте новые логи по правилам (virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log)

  8. #7
    Junior Member Репутация
    Регистрация
    05.03.2010
    Сообщений
    10
    Вес репутации
    29
    Скрипт выполнил, карантин выслал.
    Скан кидокиллером по нулям.
    Новые логи прикладываю

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    270
    Уже лучше. Сделайте лог gmer

  10. #9
    Junior Member Репутация
    Регистрация
    05.03.2010
    Сообщений
    10
    Вес репутации
    29
    сделал лог диска C:
    Вложения Вложения
    • Тип файла: log gmer.log (21.9 Кб, 8 просмотров)

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    270
    Сохраните текст ниже как cleanup.bat в ту же папку, где находится c20e1xm6.exe (gmer)
    Код:
    c20e1xm6.exe -del service hqsjov
    c20e1xm6.exe -del file "C:\WINDOWS\system32\waperhbv.dll"
    c20e1xm6.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hqsjov"
    c20e1xm6.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\hqsjov"
    c20e1xm6.exe -reboot
    И запустите cleanup.bat.
    Компьютер перезагрузится!
    Сделать новый лог gmer.

  12. #11
    Junior Member Репутация
    Регистрация
    05.03.2010
    Сообщений
    10
    Вес репутации
    29
    сделано: файла и записи в реестре гмер не нашел при удалении. Новый лог в приложении

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    270
    Теперь чисто.
    Обновите Internet Explorer до 8 версии, даже, если Вы не используете его, как браузер.

  14. #13
    Junior Member Репутация
    Регистрация
    05.03.2010
    Сообщений
    10
    Вес репутации
    29
    Спасибо огромное за помощь. Можно консультацию - что есть "spcc.sys" висящий везде?

  15. #14
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Это "ребенок" от Daemon Tools или Алкоголя.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 52
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\gopyfyg.exe - Trojan.Win32.Agent.dokj ( BitDefender: Trojan.Agent.AOEF, AVAST4: Win32:Agent-AISC [Trj] )
      2. c:\windows\system32\kemmuhof.exe - Trojan.Win32.Agent.dokj ( BitDefender: Trojan.Agent.AOEF, AVAST4: Win32:Agent-AISC [Trj] )
      3. c:\windows\system32\reko.exe - Trojan.Win32.Agent.dokj ( BitDefender: Trojan.Agent.AOEF, AVAST4: Win32:Agent-AISC [Trj] )
      4. c:\windows\system32\sysy.exe - Trojan.Win32.Agent.dokj ( BitDefender: Trojan.Agent.AOEF, AVAST4: Win32:Agent-AISC [Trj] )


  • Уважаемый(ая) axnotic, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Требуется помощь в лечении ПК.
      От h00ch в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 27.10.2011, 06:38
    2. Ответов: 4
      Последнее сообщение: 20.10.2011, 07:52
    3. Прошу помощь в лечении ноута.
      От KPD в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 21.01.2010, 03:30
    4. требуется помощь
      От peruga1977 в разделе Помогите!
      Ответов: 21
      Последнее сообщение: 19.04.2009, 02:42
    5. Требуется помощь!
      От Cewer в разделе Microsoft Windows
      Ответов: 2
      Последнее сообщение: 07.01.2009, 20:38

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00986 seconds with 17 queries