Показано с 1 по 20 из 20.

Сильно завирусованный компьютер (заявка № 88441)

  1. #1
    Junior Member Репутация
    Регистрация
    18.06.2009
    Сообщений
    47
    Вес репутации
    32

    Done Сильно завирусованный компьютер

    Сильно завирусованный компьютер
    Вновь установленным Касперским и проверкой AVZ с LiveCD не удалось справиться

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,403
    Вес репутации
    1267
    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     TerminateProcessByName('c:\docume~1\admin\locals~1\temp\avstc.exe');
     TerminateProcessByName('c:\docume~1\admin\locals~1\temp\msfw.exe');
     QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\MSFW.exe','');
     QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\avstc.exe','');
     QuarantineFile('C:\KEY\F-2-3-13-23878789098-7675432123-0000900091-777\x0rr0x.exe','');
     QuarantineFile('D:\autorun.inf','');
     QuarantineFile('F:\autorun.inf','');
     DeleteFile('F:\autorun.inf');
     DeleteFile('D:\autorun.inf');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\avstc.exe');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\MSFW.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft iexplorer11');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft iexplorer11');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Firewall 2.9');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Firewall 2.9');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW',2,2,true);
     ClearHostsFile;
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet001\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    - Повторите логи + сделайте лог Гмер

  4. #3
    Junior Member Репутация
    Регистрация
    18.06.2009
    Сообщений
    47
    Вес репутации
    32
    Видимый результат не поменялся, Касперский ругается на rootkit:win32.tdss.d в памяти

    Файл сохранён как 100921_145232_quarantine_4c988e70dd9d8.zip
    Размер файла 300859
    MD5 f5c371a739e560265a171d5da9e7dc32

  5. #4
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,403
    Вес репутации
    1267
    Проверяйтесь так - http://support.kaspersky.ru/faq/?qid=208636926 лог приложите сюда -
    По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
    Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
    Например, C:\TDSSKiller.2.4.0_23.07.2010_15.31.43_log.txt

  6. #5
    Junior Member Репутация
    Регистрация
    18.06.2009
    Сообщений
    47
    Вес репутации
    32
    Проверка TDSSKiller вылечила, лог прилагаю

    Гмер либо вешает машину либо сам выгружается либо синий экран

    AVZ логи делаю

  7. #6
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,403
    Вес репутации
    1267
    Заблокированный сервис(DwProt) - User select action: Delete
    - Зачем под нож пустили сервис Доктор Вэба?

  8. #7
    Junior Member Репутация
    Регистрация
    18.06.2009
    Сообщений
    47
    Вес репутации
    32
    Drweb больше не использую

  9. #8
    Junior Member Репутация
    Регистрация
    18.06.2009
    Сообщений
    47
    Вес репутации
    32
    Высылаю отчеты AVZ

    Жду результата лечения / проверки

  10. #9
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,403
    Вес репутации
    1267
    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('F:\autorun.inf');
     DeleteFile('C:\KEY\F-2-3-13-23878789098-7675432123-0000900091-777\x0rr0x.exe');
     DelCLSID('67KLN5J1-4OPM-00WE-AAX5-71EF1D187311');  
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW',2,2,true);
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    - Повторите лог virusinfo_syscheck.zip

  11. #10
    Junior Member Репутация
    Регистрация
    18.06.2009
    Сообщений
    47
    Вес репутации
    32
    Высылаю лог

  12. #11
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,403
    Вес репутации
    1267
    I:\ - это Вы уже флешку подключили?

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('I:\KEY\F-2-3-13-23878789098-7675432123-0000900091-777\x0rr0x.exe');
     DeleteFile('I:\autorun.inf');      
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    - Компьютер перезагрузится

    - Повторите лог virusinfo_syscheck.zip

  13. #12
    Junior Member Репутация
    Регистрация
    18.06.2009
    Сообщений
    47
    Вес репутации
    32
    Еще файл журнала после выполнения скрипта

  14. #13
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,403
    Вес репутации
    1267
    Цитата Сообщение от Olejah Посмотреть сообщение
    I:\ - это Вы уже флешку подключили?
    Ответа на вопрос не увидел.

  15. #14
    Junior Member Репутация
    Регистрация
    18.06.2009
    Сообщений
    47
    Вес репутации
    32
    Флешка использовалась для переноса скрипта

    скрипт отрабатывал с флешкой
    флешку проверял на др. компьютере, был:
    Удалено троянская программа Trojan.Win32.Jorik.IRCbot.hp F:\N_GIGABYTE\N_GIGABYTE\N_GIGABYTEav.exe 22.09.2010 16:35:33

  16. #15
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,403
    Вес репутации
    1267
    Самое главное, чтобы флешка была подключена при выполнении скрипта из поста №11, потому что на ней были вирусы. А так - чисто.

  17. #16
    Junior Member Репутация
    Регистрация
    18.06.2009
    Сообщений
    47
    Вес репутации
    32
    Спасибо
    Выполненил скрипт #11 с флешкой
    После удалил названный вирус на др. компьютере

  18. #17
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,403
    Вес репутации
    1267
    Что с проблемой сейчас?

  19. #18
    Junior Member Репутация
    Регистрация
    18.06.2009
    Сообщений
    47
    Вес репутации
    32
    Внешне все решено. Спасибо

  20. #19
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,403
    Вес репутации
    1267
    Рекомендуется -

    - Установить все важные обновления.
    - Установить IE 8 - даже если Вы им не пользуетесь.

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 15
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\docume~1\\admin\\locals~1\\temp\\avstc.exe - Trojan.Win32.Jorik.IRCbot.hp ( DrWEB: Trojan.AVKill.2478, BitDefender: Trojan.Generic.5707912, AVAST4: Win32:Malware-gen )
      2. c:\\docume~1\\admin\\locals~1\\temp\\msfw.exe - Worm.Win32.AutoRun.hjp ( DrWEB: BackDoor.IRC.Bot.592, BitDefender: Trojan.Generic.KDV.37182, AVAST4: Win32:AutoRun-BPN [Wrm] )
      3. c:\\key\\f-2-3-13-23878789098-7675432123-0000900091-777\\x0rr0x.exe - Worm.Win32.AutoRun.brwu ( DrWEB: Win32.HLLW.Autoruner.15890, BitDefender: Worm.Generic.294133, AVAST4: Win32:Malware-gen )
      4. f:\\autorun.inf - Worm.Win32.AutoRun.brwu ( BitDefender: Trojan.Script.473351, NOD32: INF/Autorun virus, AVAST4: INF:AutoRun-BI [Wrm] )


  • Уважаемый(ая) alekseygalkin, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Сильно завирусованный комп!
      От kryukov в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 05.03.2011, 13:02
    2. Сильно тормозит компьютер
      От r403 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 18.09.2010, 12:57
    3. Очень сильно глючит компьютер
      От raduga в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 28.09.2009, 02:58
    4. Компьютер начал сильно глючить
      От mbentefor в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 05:10

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01284 seconds with 16 queries