-
Junior Member
- Вес репутации
- 49
Обнаружено вредоносное ПО (690 вирусов).
Девушка попросила помочь ей избавиться от вирусов.
антивируса вообще не было у неё.
Поставил ей Avast! IS 5.0.677.
Просканировал и удалил всё, что можно было.
Но комп также тормозил, как будто взламывал пентагон в фоновом режиме.
Затем записал на диск Kaspersky Rescue Disc с последними сигнатурами.
Запустил загрузку системы с диска и просканировал комп - удалил много вирусов.
Запустив систему установил Kaspersky IS 11.0.1.400.
Снова просканировал систему естественно самым глубоким анализом.
Удалил все, что можно. Но остались вредоносные программы, которые удаляться не желают.
Вложил общий отчет Каспера.
Помогите, а то формат диска не хочется делать.
Последний раз редактировалось Othari666777; 18.11.2010 в 19:33.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 49
Сегодня каспер выдал:
Я нажал лечить с перезагрузкой.
C:\WINDOWS\cfdrive32.exe
Trojan.Win32.VB.amcx
сейчас сделаю...
-
-
-
Junior Member
- Вес репутации
- 49
Логи AVZ прикрепил.
Делаю MBAM
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Код:
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteService('UrlLogger');
QuarantineFile('C:\DOCUME~1\F800~1\LOCALS~1\Temp\CheckUpdates.exe','');
DeleteService('fqanasz');
QuarantineFile('C:\WINDOWS\system32\05.tmp','');
DeleteService('gwbys');
QuarantineFile('C:\WINDOWS\system32\04.tmp','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\48.scr','');
DeleteFile('C:\WINDOWS\system32\48.scr');
DeleteFile('c:\windows\system32\wsaef.dll');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\WINDOWS\system32\04.tmp');
BC_DeleteSvc('gwbys');
DeleteFile('C:\WINDOWS\system32\05.tmp');
BC_DeleteSvc('fqanasz');
DeleteFile('C:\DOCUME~1\F800~1\LOCALS~1\Temp\CheckUpdates.exe');
BC_DeleteSvc('UrlLogger');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteRepair(1);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Ещё нужен лог Гмер
-
-
Junior Member
- Вес репутации
- 49
-
Junior Member
- Вес репутации
- 49
-
Удалите в МВАМ
Код:
Зараженные ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{3446af26-b8d7-199b-4cfc-6fd764ca5c9f} (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{4776c4dc-e894-7c06-2148-5d73cef5f905} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\MADOWN (Worm.Magania) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Fci (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\MSNETDED (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\MSNETDED (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UrlLogger (Trojan.Agent) -> No action taken.
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.
Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (userinit.exe) -> No action taken.
Зараженные папки:
C:\Program Files\Microsoft Common (Trojan.Agent) -> No action taken.
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.
Зараженные файлы:
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\YZ2JREC7\pnibsmh[1].gif (Worm.Conficker) -> No action taken.
C:\Documents and Settings\Евгения\Application Data\64496..exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Евгения\Application Data\0370365..exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Евгения\Application Data\0794244..exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Евгения\Application Data\107..exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Евгения\Application Data\14246..exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Евгения\Application Data\173..exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Евгения\Application Data\270487..exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Евгения\Application Data\292782..exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Евгения\Application Data\373..exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Евгения\Application Data\3979700..exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Евгения\Application Data\4063393..exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Евгения\Application Data\43224..exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Евгения\Application Data\446..exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Евгения\Application Data\7190645..exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Евгения\Application Data\7300898..exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Евгения\Application Data\761569..exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Евгения\Application Data\7666556..exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Евгения\Application Data\942967..exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Евгения\Application Data\9475467..exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Евгения\Application Data\9860..exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Пользователь.COMPUTER-SPYAZN.000\Application Data\12854..exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Пользователь.COMPUTER-SPYAZN.000\Application Data\76728..exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Пользователь.COMPUTER-SPYAZN.000\Application Data\79905..exe (Trojan.Agent) -> No action taken.
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe (Trojan.Agent) -> No action taken.
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\Desktop.ini (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
C:\Documents and Settings\All Users\firefox.exe (Rootkit.Dropper) -> No action taken.
C:\Documents and Settings\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> No action taken.
C:\Documents and Settings\NetworkService\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> No action taken.
C:\WINDOWS\logfile32.txt (Malware.Trace) -> No action taken.
Добавлено через 52 секунды
Выполняйте как можете, не забудьте - лог Гмер и повторите лог МВАМ
Последний раз редактировалось olejah; 18.11.2010 в 21:37.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 49
При запуске ГМЕР компьютер зависает и ничего не происходит в течение 20 минут... больше ждать не стал и перезагрузил компьютер. После повторил запуск ГМЕР - также. Теперь делаю проверку МВАМом.
-
Junior Member
- Вес репутации
- 49
Вот новые логи.
Есть ещё с зараженными файлами
virusinfo_cure.zip
Хоть его и не надо выкладывать, но хочу убедиться и услышать, что точно не надо.
-
Junior Member
- Вес репутации
- 49
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\ssmjo.dll','');
DeleteFile('C:\WINDOWS\system32\ssmjo.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- сделайте лог Combofix
-
-
Junior Member
- Вес репутации
- 49
ComboFix тоже зависает и не происходит ничего в течение часа-полутора...больше не выдерживал (мышь я вовремя проверки не трогал)(хоть и написано, что не более 20 минут проверка производится, даже на самых зараженных компьютерах)
-
В безопаном режиме пробуйте.
-
-
Junior Member
- Вес репутации
- 49
В безопасном тоже зависает...
Добавлено через 23 минуты
Так что там с моим файлом карантина?
Добавлено через 3 минуты
И иногда ваш сайт не открывается, а пишет, что страница не обнаружена...
Как будто сервер лежит... Только после двух перезагрузок снова можно зайти... хотя другие сайты открывает без проблем...
Последний раз редактировалось Othari666777; 20.11.2010 в 12:44.
Причина: Добавлено
-
Проверьтесь для убндительности так - http://support.kaspersky.ru/faq?qid=208636215
И поставьте заплатки.
-
-
Junior Member
- Вес репутации
- 49
Net-Worm.Win32.Kido (Conficker)
да... каспер постоянно пишет о нем...
Добавлено через 2 часа 45 минут
Но при проверке ничего выявлено не было... Странно
Добавлено через 1 минуту
Но при проверке ничего выявлено не было... Странно...
Последний раз редактировалось Othari666777; 20.11.2010 в 16:12.
Причина: Добавлено
-
Поставили заплатки? Так же нужно поставить сложные пароли на все учётные записи.
-
-
Junior Member
- Вес репутации
- 49