Показано с 1 по 14 из 14.

Вирусы на машине. (заявка № 93227)

  1. #1
    Junior Member Репутация
    Регистрация
    06.10.2010
    Сообщений
    79
    Вес репутации
    27

    Thumbs up Вирусы на машине.

    На компе спустя какой то время пересаёт работать интернет. НОД32 постоянно детектит некий вирус ali.exe, после проверки НОДом спустя какой то время он опять появляется. Вот логи помогите вычистить.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,412
    Вес репутации
    1268
    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     TerminateProcessByName('c:\windows\system32\dsxfoq.exe');
     QuarantineFile('c:\windows\system32\dsxfoq.exe','');
     TerminateProcessByName('c:\windows\system32\kumkae.exe');
     QuarantineFile('c:\windows\system32\kumkae.exe','');
     TerminateProcessByName('c:\windows\system32\oyaceg.exe');
     QuarantineFile('c:\windows\system32\oyaceg.exe','');
     DeleteService('wmasds');
     QuarantineFile('C:\WINDOWS\system32\tlac.exe','');
     DeleteService('WinHelp32');
     QuarantineFile('C:\WINDOWS\system32\WinHelp32.exe','');
     DeleteService('srgr');
     QuarantineFile('C:\WINDOWS\system32\Y2T30JWI\D001.exe','');
     QuarantineFile('C:\WINDOWS\system32\nefjeq.exe','');
     QuarantineFile('C:\WINDOWS\system32\dsxfoq.exe','');
     QuarantineFile('C:\WINDOWS\system32\kumkae.exe','');
     QuarantineFile('C:\WINDOWS\system32\loprku.exe','');
     QuarantineFile('C:\WINDOWS\system32\360tay.exe','');
     QuarantineFile('C:\PROFILES\All Users\Application Data\Storm\update\Console\pkgsq.cc3','');
     QuarantineFile('C:\WINDOWS\system32\RgmhtuC.dll','');
     QuarantineFile('C:\WINDOWS\ali.exe','');
     QuarantineFile('C:\Program Files\PRMT8\PrmtICQ\PrmtICQ.exe','');
     QuarantineFile('C:\WINDOWS\system32\winhelp32.exe','');
     DeleteFile('C:\WINDOWS\system32\winhelp32.exe');
     DeleteFile('C:\WINDOWS\ali.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','qQ');
     DeleteFile('C:\WINDOWS\system32\Y2T30JWI\D001.exe');
     BC_DeleteSvc('srgr');
     DeleteFile('C:\WINDOWS\system32\WinHelp32.exe');
     BC_DeleteSvc('WinHelp32');
     DeleteFile('C:\WINDOWS\system32\tlac.exe');
     DeleteFileMask('C:\WINDOWS\system32\Y2T30JWI','*.*',true);
     DeleteDirectory('C:\WINDOWS\system32\Y2T30JWI');
     BC_DeleteSvc('wmasds'); 
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW',2,2,true);
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    выполните скрипт
    Код:
    var j:integer; NumStr:string;
    begin
    for j:=0 to 999 do
     begin
        if j=0 then
            NumStr:='CurrentControlSet' else 
            if j<10 then
                NumStr:='ControlSet00'+IntToStr(j) else
                if j<100 then
                    NumStr:='ControlSet0'+IntToStr(j) else
                    NumStr:='ControlSet'+IntToStr(j);
     if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
      begin
      RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
      RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
      AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
      end;
     if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
      begin 
      RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
      RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
      AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
      end;
     end;
    SaveLog(GetAVZDirectory + 'fystemRoot.log');
    end.

  4. #3
    Junior Member Репутация
    Регистрация
    06.10.2010
    Сообщений
    79
    Вес репутации
    27
    Карантин выслал.

  5. #4
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,412
    Вес репутации
    1268
    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     DeleteService('srgr');
     DeleteService('txstc');
     DeleteService('txstx');
     DeleteService('u7t');
     DeleteService('wmasds');
     TerminateProcessByName('c:\windows\system32\oyaceg.exe');
     TerminateProcessByName('c:\windows\system32\kumkae.exe');
     DeleteService('supersev');
     StopService('supersev');
     SetServiceStart('supersev', 4);
     TerminateProcessByName('c:\windows\system32\dsxfoq.exe');
     DeleteService('e ds');
     StopService('e ds');
     SetServiceStart('e ds', 4);
     BC_DeleteSvc('e ds');
     DeleteFile('C:\WINDOWS\system32\dsxfoq.exe');
     BC_DeleteSvc('supersev');
     DeleteFile('C:\WINDOWS\system32\kumkae.exe');
     DeleteFile('c:\windows\system32\oyaceg.exe');
     BC_DeleteSvc('wmasds');
     DeleteFile('C:\WINDOWS\system32\tlac.exe');
     DeleteFile('C:\WINDOWS\system32\betlac.exe');
     BC_DeleteSvc('u7t');
     BC_DeleteSvc('txstx');
     BC_DeleteSvc('txstc');
     BC_DeleteSvc('srgr');
     DeleteFile('C:\WINDOWS\system32\nefjeq.exe');   
     DeleteFile('c:\windows\system32\dsxfoq.exe');  
     DeleteFile('c:\windows\system32\kumkae.exe');  
     DeleteFile('c:\windows\system32\oyaceg.exe');  
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW',2,2,true);
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    - Сделайте новые логи

  6. #5
    Junior Member Репутация
    Регистрация
    06.10.2010
    Сообщений
    79
    Вес репутации
    27
    Новые логи.

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,566
    Вес репутации
    3022
    Сделайте лог ComboFix
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    06.10.2010
    Сообщений
    79
    Вес репутации
    27
    Лог ComboFix

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,566
    Вес репутации
    3022
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    c:\profiles\All Users\Application Data\Storm\update\%SESSIONNAME%\pkgsq.cc3
    c:\windows\system32\drivers\tcpz-x86d.sys
    c:\windows\system32\loprku.exe
    c:\windows\system32\eisuiw.exe
    
    Driver::
    TCPZ
    bdgg
    der
    Power
    SmsFam
    vrs
    WaeqSvc
    WaesSvc
    
    Folder::
    c:\windows\system32\8FXPT0D0
    c:\windows\system32\4D8DCYK6
    c:\windows\system32\3XMUJC3D
    c:\windows\system32\3XH16D7J
    c:\windows\system32\1DLLYR5M
    c:\windows\system32\YJ3EKKIT
    c:\windows\system32\Y4AA82RL
    c:\windows\system32\EFVEVI2I
    c:\windows\system32\DM8YJ6NP
    c:\windows\system32\DGC6SHPH
    c:\windows\system32\DAGG0RR8
    c:\windows\system32\D3JOA1T0
    c:\windows\system32\DXNWICVS
    c:\windows\system32\DRQ4QMXK
    c:\windows\system32\DLUEZWZC
    c:\windows\system32\D3EVW2X6
    c:\windows\system32\DXI35DZY
    c:\windows\system32\6XD58K0R
    c:\windows\system32\VH6SNSOU
    c:\windows\system32\t
    c:\profiles\All Users\Application Data\Storm
    
    Registry::
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    "WaeqSvc"=-
    "WaesSvc"=-
    
    FileLook::
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Junior Member Репутация
    Регистрация
    06.10.2010
    Сообщений
    79
    Вес репутации
    27
    Новые логи ComboFix

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,566
    Вес репутации
    3022
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Junior Member Репутация
    Регистрация
    06.10.2010
    Сообщений
    79
    Вес репутации
    27
    Лог MBAM

  13. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,566
    Вес репутации
    3022
    Запакуйте, пожалуйста, папку C:\Qoobox\Quarantine с паролем virus и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.
    Если почтовый сервер не будет пропускать письмо, выложите архив на файлообменник, а на указанный e-mail отправьте письмо со ссылкой на скачивание.

    Удалите в МВАМ
    Код:
    Зараженные папки:
    C:\Program Files\Save (Adware.WhenU) -> No action taken.
    
    Зараженные файлы:
    C:\PROFILES\Administrator\mb\D001.exe (Malware.Packer) -> No action taken.
    C:\PROFILES\Administrator\mb\G001.exe (Malware.Packer) -> No action taken.
    C:\PROFILES\Administrator\mb\Z001.exe (Malware.Packer) -> No action taken.
    C:\PROFILES\Administrator\mb\E002.exe (Malware.Packer) -> No action taken.
    C:\PROFILES\Administrator\mb\G002.exe (Malware.Packer) -> No action taken.
    C:\Program Files\Save\SaveUninst.exe (Adware.WhenU) -> No action taken.
    C:\System Volume Information\_restore{265CD683-0DF2-44F9-9E68-43000DE00C20}\RP1\A0000151.exe (Malware.Packer) -> No action taken.
    C:\System Volume Information\_restore{265CD683-0DF2-44F9-9E68-43000DE00C20}\RP1\A0000153.exe (Malware.Packer) -> No action taken.
    C:\System Volume Information\_restore{265CD683-0DF2-44F9-9E68-43000DE00C20}\RP1\A0000154.exe (Malware.Packer) -> No action taken.
    C:\System Volume Information\_restore{265CD683-0DF2-44F9-9E68-43000DE00C20}\RP1\A0000156.exe (Malware.Packer) -> No action taken.
    C:\System Volume Information\_restore{265CD683-0DF2-44F9-9E68-43000DE00C20}\RP1\A0000157.exe (Malware.Packer) -> No action taken.
    C:\System Volume Information\_restore{265CD683-0DF2-44F9-9E68-43000DE00C20}\RP1\A0000159.exe (Malware.Packer) -> No action taken.
    C:\System Volume Information\_restore{265CD683-0DF2-44F9-9E68-43000DE00C20}\RP1\A0000160.exe (Malware.Packer) -> No action taken.
    C:\System Volume Information\_restore{265CD683-0DF2-44F9-9E68-43000DE00C20}\RP1\A0000162.exe (Malware.Packer) -> No action taken.
    C:\System Volume Information\_restore{265CD683-0DF2-44F9-9E68-43000DE00C20}\RP1\A0000163.exe (Malware.Packer) -> No action taken.
    C:\System Volume Information\_restore{265CD683-0DF2-44F9-9E68-43000DE00C20}\RP1\A0000166.exe (Malware.Packer) -> No action taken.
    C:\System Volume Information\_restore{265CD683-0DF2-44F9-9E68-43000DE00C20}\RP1\A0000168.exe (Malware.Packer) -> No action taken.
    C:\Qoobox\Quarantine\C\WINDOWS\system32\1DLLYR5M\G001.exe.vir (Malware.Packer) -> No action taken.
    C:\Qoobox\Quarantine\C\WINDOWS\system32\1DLLYR5M\Z001.exe.vir (Malware.Packer) -> No action taken.
    C:\Qoobox\Quarantine\C\WINDOWS\system32\3XH16D7J\G001.exe.vir (Malware.Packer) -> No action taken.
    C:\Qoobox\Quarantine\C\WINDOWS\system32\3XH16D7J\Z001.exe.vir (Malware.Packer) -> No action taken.
    C:\Qoobox\Quarantine\C\WINDOWS\system32\3XMUJC3D\G001.exe.vir (Malware.Packer) -> No action taken.
    C:\Qoobox\Quarantine\C\WINDOWS\system32\3XMUJC3D\Z001.exe.vir (Malware.Packer) -> No action taken.
    C:\Qoobox\Quarantine\C\WINDOWS\system32\4D8DCYK6\G001.exe.vir (Malware.Packer) -> No action taken.
    C:\Qoobox\Quarantine\C\WINDOWS\system32\4D8DCYK6\Z001.exe.vir (Malware.Packer) -> No action taken.
    C:\Qoobox\Quarantine\C\WINDOWS\system32\6XD58K0R\A23.exe.vir (Malware.Packer) -> No action taken.
    C:\Qoobox\Quarantine\C\WINDOWS\system32\YJ3EKKIT\G001.exe.vir (Malware.Packer) -> No action taken.
    C:\Qoobox\Quarantine\C\WINDOWS\system32\YJ3EKKIT\Z001.exe.vir (Malware.Packer) -> No action taken.
    C:\Program Files\Save\save.htm (Adware.WhenU) -> No action taken.
    C:\Program Files\Save\save.db (Adware.WhenU) -> No action taken.
    C:\Program Files\Save\store.db (Adware.WhenU) -> No action taken.
    Проблема решена?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. #13
    Junior Member Репутация
    Регистрация
    06.10.2010
    Сообщений
    79
    Вес репутации
    27
    1. Письмо отправил. Смотрите, вроде пропустило
    2. Всё удалил.
    3. Пока по наблюдениям всё в норме, проблемы нет.

    Спасибо за помощь.

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 4
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\program files\\prmt8\\prmticq\\prmticq.exe - Backdoor.Win32.Httpbot.apu ( DrWEB: BackDoor.Darkshell.77, BitDefender: Trojan.Generic.5953383, AVAST4: Win32:Malware-gen )
      2. c:\\windows\\system32\\dsxfoq.exe - Trojan.Win32.Scar.dgpb ( DrWEB: Trojan.DownLoad1.53651, BitDefender: GenPack:Trojan.Generic.4575256, NOD32: Win32/ServStart.AI trojan, AVAST4: Win32:Rootkit-gen [Rtk] )
      3. c:\\windows\\system32\\kumkae.exe - Trojan.Win32.Scar.dgjt ( DrWEB: Trojan.DownLoader1.8357, BitDefender: GenPack:Trojan.Generic.4571416, AVAST4: Win32:Malware-gen )
      4. c:\\windows\\system32\\oyaceg.exe - Trojan.Win32.Scar.dgdi ( DrWEB: Trojan.DownLoader1.8357, BitDefender: Rootkit.48812, AVAST4: Win32:Rootkit-gen [Rtk] )


  • Уважаемый(ая) Михаил_83, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. На виртуальной машине Троян
      От Galaiey в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 30.05.2012, 22:02
    2. Ответов: 15
      Последнее сообщение: 23.08.2010, 13:20
    3. Множественные вирусы на машине
      От Niven в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 05.11.2009, 21:49
    4. проблема ещё не одной машине
      От Earring21 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 05:16
    5. Опять на машине вирусы.
      От Jim в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 16.06.2008, 23:01

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01598 seconds with 16 queries