Показано с 1 по 13 из 13.

Куча разных вирусов. (заявка № 89941)

  1. #1
    Junior Member Репутация
    Регистрация
    13.12.2008
    Адрес
    Ukraine, Lviv
    Сообщений
    38
    Вес репутации
    33

    Exclamation Куча разных вирусов.

    У знакомых на компе завелось куча вирусов.
    Антивирус стоит Zillya!
    Винда - XP Pro Philka Edition.

    Так как находится у них для проведения всех пунктов для создания темы я не могу - ибо это занимает очень много времени, я к ним подконектился с помощью Radmin и Hamachi.

    Так что я немного нарушил процедуру описаную в Правилах, а именно:
    1. Сканирование компа утилитой AVPTool проводилось НЕ в безопасном режиме.
    2. Пункт 5 - Отключите восстановление системы. не удалось выполнить, т.к. в Свойствах Системы отсутствует такая вкладка... Я уже всё перерыл. Перечитал в нэте кучу тем об этом. В груповых политиках лазил, и реестре. Так и не смог добится появления этой вкладки. Возможно вирус её забрал с потрохами
    3. Отключитесь от сети Интернет и ...

    Вот тут я не сделал следующего: не отключался от Интернета, ибо не смог бы продолжать управлять их компом удалённо. Не закрывал Radmin Server, Hamachi, ICQ (нужна для переписки с владельцем компа). И ещё у них есть утилита для доступа к Интернету от провайдера. Её тоже оставил включённой. IE забыл включить. Немного поспешил, и перед первым запуском сканирования не поотключал всех програм, в т.ч. и антивирус.
    Остановил сканирование AVZ, выключил всё лишнее и запустил опять скрипт.

    Перезагрузил, и запустил второй скрипт AVZ.
    Потом по завершении скрипта запустил HiJackThis.
    Последний раз редактировалось SergSlim; 16.10.2010 в 01:02.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1554
    Пофиксите в HijackThis:
    Код:
    R3 - URLSearchHook: (no name) - {F08555B0-9CC3-11D2-AA8E-000000000567} - (no file)
    R3 - URLSearchHook: (no name) -  - (no file)
    R3 - URLSearchHook: (no name) - {00000000-6E41-4FD3-8538-502F5495E5FC} - (no file)
    F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
    O4 - HKLM\..\Run: [Driver Control Manager v4.7] C:\Temp\dvadeset.exe
    O4 - HKLM\..\Run: [Driver Control Manager v5.3] C:\Temp\dvadessest.exe
    O4 - HKLM\..\Run: [Driver Control Manager v5.4] C:\Temp\dvadessedan.exe
    O4 - HKLM\..\Run: [Driver Control Manager v5.5] C:\Temp\dvadesosan.exe
    O4 - HKLM\..\Run: [Driver Control Manager v5.7] C:\Temp\tridesee.exe
    O4 - HKLM\..\Run: [Driver Control Manager v5.8] C:\Temp\tridesejean.exe
    O4 - HKLM\..\Run: [Driver Control Manager v5.9] C:\Temp\tridesedva.exe
    O4 - HKLM\..\Run: [Driver Control Manager v6.0] C:\Temp\tridesetri.exe
    O4 - HKLM\..\RunServices: [csrcs] C:\WINDOWS\system32\csrcs.exe
    O4 - HKCU\..\Run: [Driver Control Manager v5.9] C:\Temp\tridesedva.exe
    O4 - HKCU\..\Run: [Driver Control Manager v5.3] C:\Temp\dvadessest.exe
    O4 - HKCU\..\Run: [Driver Control Manager v6.0] C:\Temp\tridesetri.exe
    O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
     QuarantineFile('C:\Temp\tridesetri.exe','');
     QuarantineFile('C:\Temp\tridesejean.exe','');
     QuarantineFile('C:\Temp\tridesee.exe','');
     QuarantineFile('C:\Temp\tridesedva.exe','');
     QuarantineFile('C:\Temp\dvadessest.exe','');
     QuarantineFile('C:\Temp\dvadessedan.exe','');
     QuarantineFile('C:\Temp\dvadesosan.exe','');
     QuarantineFile('C:\Temp\dvadeset.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\vhrbcebr.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\mjtrgsnr.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\mfteqrfb.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\kljeulcg.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\grgjuuvm.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\fdjmljyd.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\dprxzcmo.sys','');
     DeleteFile('C:\WINDOWS\System32\Drivers\dprxzcmo.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\fdjmljyd.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\grgjuuvm.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\kljeulcg.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\mfteqrfb.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\mjtrgsnr.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\vhrbcebr.sys');
     DeleteFile('C:\Temp\dvadeset.exe');
     DeleteFile('C:\Temp\dvadesosan.exe');
     DeleteFile('C:\Temp\dvadessedan.exe');
     DeleteFile('C:\Temp\dvadessest.exe');
     DeleteFile('C:\Temp\tridesedva.exe');
     DeleteFile('C:\Temp\tridesee.exe');
     DeleteFile('C:\Temp\tridesejean.exe');
     DeleteFile('C:\Temp\tridesetri.exe');
     DeleteFile('C:\WINDOWS\System32\drivers\dwprot.sys');
     DeleteFile('C:\WINDOWS\system32\KB905474\wgasetup.exe');
     DeleteFile('C:\WINDOWS\system32\csrcs.exe');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('TSW',2,3,true);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=89941).
    Сделайте новые логи.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    13.12.2008
    Адрес
    Ukraine, Lviv
    Сообщений
    38
    Вес репутации
    33
    Пофиксил.
    Выполнил скрипт.

    почему-то я решил что надо запускать скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info в безопасном режиме и попросил это сделать владельцев компа.
    Потом запустил Скрипт сбора информации для раздела "Помогите!" virusinfo.info.
    Потом Do a system scan and save a logfile в HiJackThis.

    Потом я прочитал что первый скрипт стандартный не надо было делать в безопасном, и ещё раз выполнил его уже в обычном режиме, со всеми закрытыми прогами кроме Hamachi, Radmin Server, и прогой для Интернета.

    Потом опять скрипт сбора информации и hijackthis.

    Обновил логи в первом посте.

    Папка карантина была на момент последней перезагрузки пуста... не знаю куда делить файлы оттуда, если они там вообще были.
    Может надо было их выслать до выполнения стандартных скриптов программы сразу же после выполнения скрипта из предыдщуего ответа...

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,250
    Вес репутации
    3015
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\sshnas21.dll','');
     QuarantineFile('C:\Documents and Settings\Марта.6C9A9ACE47AC420\dkwbvbm.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\lpxcuabo.sys','');
     DeleteService('lpxcuabo');
     QuarantineFile('C:\WINDOWS\System32\Drivers\isyegdki.sys','');
     DeleteService('isyegdki');
     QuarantineFile('C:\WINDOWS\System32\Drivers\fqnhijzl.sys','');
     DeleteService('fqnhijzl');
     QuarantineFile('C:\WINDOWS\System32\Drivers\cqzzxkqd.sys','');
     DeleteService('cqzzxkqd');
     SetServiceStart('yegdyzhl', 4);
     DeleteService('yegdyzhl');
     QuarantineFile('C:\WINDOWS\system32\Drivers\yegdyzhl.sys','');
     TerminateProcessByName('c:\temp\kml.exe');
     QuarantineFile('c:\temp\kml.exe','');
     TerminateProcessByName('c:\windows\kgezyb.exe');
     QuarantineFile('c:\windows\kgezyb.exe','');
     DeleteFile('c:\windows\kgezyb.exe');
     DeleteFile('c:\temp\kml.exe');
     DeleteFile('C:\WINDOWS\system32\Drivers\yegdyzhl.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\cqzzxkqd.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\fqnhijzl.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\isyegdki.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\lpxcuabo.sys');
     DeleteFile('C:\Documents and Settings\Марта.6C9A9ACE47AC420\dkwbvbm.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSConfig');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','IJKUK66HMN');
     DeleteFile('C:\WINDOWS\system32\sshnas21.dll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SSHNAS\Parameters','ServiceDll');
    DeleteFile('%windir%\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job');
    DeleteFile('%windir%\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('yegdyzhl');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи и прикрепите к следующему сообщению

    Сделайте лог gmer
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    13.12.2008
    Адрес
    Ukraine, Lviv
    Сообщений
    38
    Вес репутации
    33
    Запустил скрипт в AVZ, комп перезагрузился.
    Зашёл в AVZ в "Файл" -> "Просмотр карантина". ВЫделил все файлы в правой колонке и выбрал Заархивировать.
    файл virus.zip не имел пароля на открытие как написано по ссылке Прислать запрошенный карантин. Так что я его разархивировал, и запаковал опять с паролем.
    Карантин прислал.

    Сейчас буду делать логи.

  7. #6
    Junior Member Репутация
    Регистрация
    13.12.2008
    Адрес
    Ukraine, Lviv
    Сообщений
    38
    Вес репутации
    33
    Логи готовы.

  8. #7
    Junior Member Репутация
    Регистрация
    13.12.2008
    Адрес
    Ukraine, Lviv
    Сообщений
    38
    Вес репутации
    33
    Меня пугает наличие восклицательного знака в названии темы, и то что уже было 2 просмотра логов и пока что не поступило ни одного ответа.....

  9. #8
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,383
    Вес репутации
    1266
    - Сохраните текст ниже как 1.bat в ту же папку, где находится 86z20bcu.exe(GMER) и запустите этот батник(1.bat):

    Код:
    86z20bcu.exe -del service clazktbd
    86z20bcu.exe -del file "C:\WINDOWS\system32\skvfzukd.dll"
    86z20bcu.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\clazktbd"
    86z20bcu.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\clazktbd"
    86z20bcu.exe -reboot
    Компьютер перезагрузится.

    После перезагрузки:
    - Сделайте повторные логи АВЗ
    - Сделайте новый лог Gmer

  10. #9
    Junior Member Репутация
    Регистрация
    13.12.2008
    Адрес
    Ukraine, Lviv
    Сообщений
    38
    Вес репутации
    33




    Может антивирус постарался......
    Последний раз редактировалось Bratez; 18.10.2010 в 06:20.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1554
    Выполните скрипт в AVZ:
    Код:
    begin
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     BC_DeleteSvc('bhrwpvme');
     BC_DeleteSvc('sdonthmp');
     BC_DeleteSvc('xszyzpso');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Повторите лог virusinfo_syscheck.
    Что с проблемами?
    I am not young enough to know everything...

  12. #11
    Junior Member Репутация
    Регистрация
    13.12.2008
    Адрес
    Ukraine, Lviv
    Сообщений
    38
    Вес репутации
    33
    ЛОГ прикрепил.

    Видимых проблем не заметно.
    Хотя они и раньше были не особо выражены....
    Сообщения антивируса, какие-то ошибки при загрузке Винды, отсутствие определённых вкладок в Системе (панель управления) - сейчас этого всего не наблюдается.

    Спасибо.


    EDIT:
    Установил MSE вместо Zillya.
    Он нашёл ещё несколько вирусов:
    Win32/Renos.LX
    Елементи:
    file:C:\WINDOWS\Kgezya.exe

    INFO/Autorun.gen
    Елементи:
    file:C:\WINDOWS\System32\autorun.i
    Последний раз редактировалось SergSlim; 18.10.2010 в 23:09.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1554
    Выполните скрипт в AVZ:
    Код:
    begin
    BC_DeleteSvc('zgbclanl');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Больше ничего плохого.
    I am not young enough to know everything...

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 22
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\марта.6c9a9ace47ac420\\dkwbvbm.exe - Trojan.Win32.Inject.awln ( DrWEB: Trojan.Virtumod.18, BitDefender: Gen:Variant.Kazy.7882, AVAST4: Win32:Malware-gen )
      2. c:\\temp\\kml.exe - Trojan.Win32.FraudPack.cfyl ( DrWEB: Trojan.DownLoader1.31290, BitDefender: Gen:Variant.Kazy.1759, NOD32: Win32/TrojanDownloader.FakeAlert.AUU trojan, AVAST4: Win32:MalOb-BX [Cryp] )
      3. c:\\windows\\kgezyb.exe - Trojan.Win32.FraudPack.cgeh ( DrWEB: Trojan.DownLoader1.22695, BitDefender: Gen:Heur.FKP.1, AVAST4: Win32:MalOb-BX [Cryp] )
      4. c:\\windows\\system32\\drivers\\yegdyzhl.sys - Rootkit.Win32.Pakes.zo ( DrWEB: Trojan.Siggen.18257, BitDefender: Backdoor.Tofsee.Gen, NOD32: Win32/TrojanDownloader.Genome.CLU trojan, AVAST4: Win32:Malware-gen )
      5. c:\\windows\\system32\\sshnas21.dll - Trojan.Win32.FraudPack.cgek ( DrWEB: BackDoor.Click.1058, BitDefender: Trojan.Generic.KDV.50510, AVAST4: Win32:MalOb-BX [Cryp] )


  • Уважаемый(ая) SergSlim, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Много разных вирусов
      От AnnAit в разделе Помогите!
      Ответов: 18
      Последнее сообщение: 11.03.2010, 22:27
    2. Много разных вирусов
      От Detochkin в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 23.02.2010, 23:07
    3. Куча разных вирусов
      От Saint-technik в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 28.01.2010, 21:57
    4. много разных вирусов...
      От azza2009 в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 29.05.2009, 21:16
    5. Нахватал вирусов разных.
      От Sitpower в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 16.11.2008, 23:17

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00033 seconds with 16 queries