Показано с 1 по 16 из 16.

Mkar.E угробил мою систему (заявка № 79550)

  1. #1
    Junior Member Репутация
    Регистрация
    20.08.2007
    Сообщений
    144
    Вес репутации
    38

    Thumbs up Mkar.E угробил мою систему

    Просканировал комп Авирой и она удалила следующие файлы:

    C:\SOS\PE1\minint\EXPLORER.EXE
    C:\SOS\LS\$WIN_NT$.~LS\I386\SVCPACK\FP_AX.EXE
    C:\SOS\LS\$WIN_NT$.~LS\I386\AUTOFMT.EXE
    C:\SOS\LS\$WIN_NT$.~LS\I386\AUTOCHK.EXE
    C:\RECYCLER\S-1-5-21-2025429265-1035525444-1801674531-500\Dc3.exe
    C:\RECYCLER\S-1-5-21-2025429265-1035525444-1801674531-500\Dc5\Программы\magentsetup.exe
    C:\SOS\LS\$WIN_NT$.~LS\I386\SVCPACK\MSXML.EXE
    C:\SOS\PE1\minint\SYSTEM32\AUTOFMT.EXE
    C:\SOS\PE1\minint\SYSTEM32\AUTOCHK.EXE
    C:\WINDOWS\ALCWZRD.EXE
    C:\WINDOWS\RTLCPL.EXE
    C:\SOS\PE1\minint\SYSTEM32\NTOSKRNL.EXE
    C:\SOS\PE1\minint\SYSTEM32\NTKRNLMP.EXE
    C:\WINDOWS\RtlUpd.exe
    C:\SOS\PE1\minint\SYSTEM32\WINLOGON.EXE
    C:\WINDOWS\SkyTel.exe
    C:\WINDOWS\$NtUninstallwmp11$\setup_wm.exe
    C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\vbc.e xe
    C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    C:\WINDOWS\OemDrv\S\R2\AlcWzrd.exe
    C:\WINDOWS\OemDrv\S\R2\MicCal.exe
    C:\WINDOWS\OemDrv\S\R2\RtlUpd.exe
    C:\WINDOWS\OemDrv\S\R2\SkyTel.exe
    C:\WINDOWS\OemDrv\S\R2\RTLCPL.exe
    C:\WINDOWS\OemDrv\V\N1\nvcplui.exe
    C:\WINDOWS\system32\accwiz.exe
    C:\WINDOWS\OemDrv\V\N1\nwiz.exe
    C:\WINDOWS\pchealth\helpctr\binaries\HelpCtr.exe
    C:\WINDOWS\system32\autochk.exe
    C:\WINDOWS\pchealth\helpctr\binaries\HelpSvc.exe
    C:\WINDOWS\OemDrv\V\N1\nvdspsch.exe
    C:\WINDOWS\system32\autoconv.exe
    C:\WINDOWS\system32\autofmt.exe
    C:\WINDOWS\system32\dxdiag.exe
    C:\WINDOWS\system32\Hoster.exe
    C:\WINDOWS\system32\mmc.exe
    C:\WINDOWS\system32\ntoskrnl.exe
    C:\WINDOWS\system32\mstsc.exe
    C:\WINDOWS\system32\logonui.exe
    C:\WINDOWS\system32\nvcplui.exe
    C:\WINDOWS\system32\ntbackup.exe
    C:\WINDOWS\system32\ntkrnlpa.exe
    C:\WINDOWS\system32\nvdspsch.exe
    C:\WINDOWS\system32\wiaacmgr.exe
    C:\WINDOWS\system32\spider.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\nwiz.exe
    C:\WINDOWS\system32\usmt\migwiz.exe
    C:\WINDOWS\system32\XMNT2002.exe

    После чего при запуске винды:

    1. Пропал рабочий стол и нижняя планка со значками "старт", быстрый запуск, трей и т. д.
    2. До этого было где-то 60-61 процесс в Диспечере Задач, стало где-то 34.
    3. Эксплорер не смог вначале запустить при введении его названия в ДЗ, а потом вдруг запустил и появился рабочий стол, нижняя планка, и я смог открыть браузер и зайти на ваш сайт.

    Теперь прошу помощи. Может кто знает, какие из вышеперечисленных и удалённых файлов являются системными и важными? А то куча значков в трее пропало... И почему процессов в два раза меньше стало? (теперь 3

    Ещё:

    Система у меня на диске Е, если что. На диске С вторая система, запасная.
    На одном сайте мне подсказали, что у меня на компе вирус W32/Mkar.E. Пробовал его лечит Куреитом от Веба, но что-то улучшений не вижу, хоть по логам и видно было исцелённые файлы.
    Проблемы у меня сохраняются. Я не могу почему-то зайти ни на один противовирусный сайт. На ваш тоже. Зашёл вот сейчас только с пмощью мобильного интернета. А через АДСЛ модем не могу. Скорее всего вирус не даёт мне посещать ваш сайт. Другие посещаются нормально.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    20.08.2007
    Сообщений
    144
    Вес репутации
    38
    Только что поставил ИЕ8 и проблема с незагрузкой процесса "експлорер" при старте пропала. Но вот на ваш сайт по-прежнему не пускает...

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
     QuarantineFile('\\?\globalroot\systemroot\system32\ePkwDSa.exe','');
     QuarantineFile('\\?\globalroot\systemroot\system32\X9Tnw60.exe','');
     QuarantineFile('\\?\globalroot\systemroot\system32\EoStXeu.exe','');
     DeleteService('NetLogSrv');
     QuarantineFile('E:\WINDOWS\system32\drivers\svchost.exe','');
     QuarantineFile('e:\program files\speed-link vibration joystick\gm_devupdate.exe','');
     DeleteFile('E:\WINDOWS\system32\drivers\svchost.exe');
     DeleteFile('\\?\globalroot\systemroot\system32\EoStXeu.exe');
     DeleteFile('\\?\globalroot\systemroot\system32\X9Tnw60.exe');
     DeleteFile('\\?\globalroot\systemroot\system32\ePkwDSa.exe');
     DeleteFile('E:\WINDOWS\system32\EoStXeu.exe');
     DeleteFile('E:\WINDOWS\system32\X9Tnw60.exe');
     DeleteFile('E:\WINDOWS\system32\ePkwDSa.exe');
     DelBHO('{39AA6D29-4236-4F25-A36A-3410EF5283D9} ');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(20);
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

  5. #4
    Junior Member Репутация
    Регистрация
    20.08.2007
    Сообщений
    144
    Вес репутации
    38
    Ура. После выполнения вашего скрипта я могу теперь посещать ваш сайт по проводному интернету, а не только мобильному.

    Карантин и архивы выслал.

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    больше подозрительного не вижу

  7. #6
    Junior Member Репутация
    Регистрация
    20.08.2007
    Сообщений
    144
    Вес репутации
    38
    А Куреит увидел...

    bgrglTL.exe;E:\WINDOWS\system32;Trojan.Packed.2032 3;Удален.;
    hJdVVnA.exe;E:\WINDOWS\system32;Trojan.Packed.2032 0;Удален.;
    HSFbKWr.exe;E:\WINDOWS\system32;Trojan.Packed.2032 0;Удален.;
    iSJCeX2.exe;E:\WINDOWS\system32;Trojan.Packed.2032 0;Удален.;

    Это я обновил куреит и сделал им быструю проверку системы. Значит ли это, что возможно где-то на компьютере ещё сидит часть вируса и продолжает клепать свои клоны?

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    Цитата Сообщение от Snake_man Посмотреть сообщение
    А Куреит увидел...
    глазастее меня значит Куреит

    - Сделайте лог MBAM

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Цитата Сообщение от polword Посмотреть сообщение
    глазастее меня значит Куреит
    Неее, глазастее AVZ
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Junior Member Репутация
    Регистрация
    20.08.2007
    Сообщений
    144
    Вес репутации
    38
    Сделал.

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    1. удалите в MBAM
    Код:
    Зараженные ключи в реестре:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\navigator (Trojan.Zlob) -> No action taken.
    
    Зараженные параметры в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
    2.Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     SetAVZPMStatus(true);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
     QuarantineFile('E:\Program Files\DAEMON Tools Pro\daemon.tools.pro.patch.exe','');
     QuarantineFile('E:\Documents and Settings\All Users\Application Data\{4C2CB1B6-C45E-4307-ACEE-27BE65138599}\offline\IFGMGCEMRAFAKNXEIMMAXFNSDRFFFF0\memman.vxd','');
     QuarantineFile('E:\WINDOWS\system32\memman.vxd','');
     QuarantineFile('F:\Program Files\Internet Download Manager\Patch.exe','');
     DeleteFile('E:\Documents and Settings\All Users\Application Data\{4C2CB1B6-C45E-4307-ACEE-27BE65138599}\offline\IFGMGCEMRAFAKNXEIMMAXFNSDRFFFF0\memman.vxd');
     DeleteFile('E:\WINDOWS\system32\memman.vxd');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторный лог MBAM

  12. #11
    Junior Member Репутация
    Регистрация
    20.08.2007
    Сообщений
    144
    Вес репутации
    38
    Карантин прислать не могу, так как пишет, что этот файл уже был загружен, хотя я его не загружал ещё.

  13. #12
    Junior Member Репутация
    Регистрация
    20.08.2007
    Сообщений
    144
    Вес репутации
    38
    ап

    Добавлено через 1 час 46 минут

    Ну так что там? Нет больше вирусов в логе?
    Последний раз редактировалось Snake_man; 28.05.2010 в 22:28. Причина: Добавлено

  14. #13
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Ничего необычного
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  15. #14
    Junior Member Репутация
    Регистрация
    20.08.2007
    Сообщений
    144
    Вес репутации
    38
    Спасибо за помощь. Прогу закрываю.

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    740
    Надеюсь, Вы сделали не только быструю проверку куреитом, но и полную.
    И лучше обновите его, это имеет смысл каждый раз, в том числе и ночью.

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 14
    • В ходе лечения обнаружены вредоносные программы:
      1. \\?\globalroot\systemroot\system32\eostxeu.exe - Trojan.Win32.Inject.aqut ( DrWEB: Trojan.DownLoad.64043, AVAST4: Win32:Rootkit-gen [Rtk] )
      2. \\?\globalroot\systemroot\system32\epkwdsa.exe - Trojan.Win32.Inject.aqut ( DrWEB: Trojan.DownLoad.64043, AVAST4: Win32:Rootkit-gen [Rtk] )
      3. \\?\globalroot\systemroot\system32\x9tnw60.exe - Trojan-Spy.Win32.Shiz.ce ( DrWEB: Trojan.Packed.20375, BitDefender: Trojan.Generic.4120052, NOD32: Win32/Spy.Shiz.NBD trojan, AVAST4: Win32:Spyware-gen [Spy] )

    Рекомендации:
    1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !


  • Уважаемый(ая) Snake_man, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Не входит в систему
      От mutabor в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 05.08.2009, 15:56
    2. AVZ покоцала систему
      От zurg в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 22.02.2009, 05:17
    3. Глючит систему
      От Wazza в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 24.09.2008, 14:11
    4. win32/Mkar.E - спасите, кто может!
      От Новичок в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 12.04.2008, 00:17
    5. Помогите вылечить Mkar.e
      От XammeR в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 28.04.2006, 22:22

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01089 seconds with 16 queries