Jump to content
СофтФорум - всё о компьютерах и не только

Результат проверки и лечения


Recommended Posts

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);DelBHO('{EBF2BA02-9094-4c5a-858B-BB198F3D8DE2}');QuarantineFile('D:\WINDOWS\system32\ssmyst.scr','');QuarantineFile('D:\WINDOWS\system32\csrcs.exe','');QuarantineFile('D:\WINDOWS\services.exe','');QuarantineFile('D:\WINDOWS\system32\drivers\smwdm.sys','');QuarantineFile('D:\WINDOWS\system32\clipsrv.exe','');QuarantineFile('D:\WINDOWS\System32\Drivers\a8kxzod5.SYS','');QuarantineFile('D:\WINDOWS\system32\DRIVERS\tcpip.sys','');DeleteService('ati8xfxx');DeleteService('ati8ttxx');DeleteService('ati8mtxx');DeleteService('ati8ccxx');DeleteService('ati8bpxx');DeleteService('ati7vpxx');DeleteService('ati7chxx');DeleteService('ati6prxx');DeleteService('ati6bwxx');DeleteService('ati5ycxx');DeleteService('ati5gxxx');DeleteService('ati4mqxx');DeleteService('ati4gdxx');DeleteService('ati4boxx');DeleteService('ati3wbxx');DeleteService('ati1xlxx');DeleteService('ati1qlxx');DeleteService('ati0pjxx');DeleteService('ati0lmxx');DeleteService('ati0gixx');DeleteService('ati0dgxx');DeleteFile('D:\WINDOWS\System32\Drivers\ati0dgxx.sys');DeleteFile('D:\WINDOWS\System32\Drivers\ati0gixx.sys');DeleteFile('D:\WINDOWS\System32\Drivers\ati0lmxx.sys');DeleteFile('D:\WINDOWS\System32\Drivers\ati0pjxx.sys');DeleteFile('D:\WINDOWS\System32\Drivers\ati1qlxx.sys');DeleteFile('D:\WINDOWS\System32\Drivers\ati1xlxx.sys');DeleteFile('D:\WINDOWS\System32\Drivers\ati3wbxx.sys');DeleteFile('D:\WINDOWS\System32\Drivers\ati4boxx.sys');DeleteFile('D:\WINDOWS\System32\Drivers\ati4gdxx.sys');DeleteFile('D:\WINDOWS\System32\Drivers\ati4mqxx.sys');DeleteFile('D:\WINDOWS\System32\Drivers\ati5gxxx.sys');DeleteFile('D:\WINDOWS\System32\Drivers\ati5ycxx.sys');DeleteFile('D:\WINDOWS\System32\Drivers\ati6bwxx.sys');DeleteFile('D:\WINDOWS\System32\Drivers\ati6prxx.sys');DeleteFile('D:\WINDOWS\System32\Drivers\ati7chxx.sys');DeleteFile('D:\WINDOWS\System32\Drivers\ati7vpxx.sys');DeleteFile('D:\WINDOWS\System32\Drivers\ati8bpxx.sys');DeleteFile('D:\WINDOWS\System32\Drivers\ati8ccxx.sys');DeleteFile('D:\WINDOWS\System32\Drivers\ati8mtxx.sys');DeleteFile('D:\WINDOWS\System32\Drivers\ati8ttxx.sys');DeleteFile('D:\WINDOWS\System32\Drivers\ati8xfxx.sys');DeleteFile('D:\WINDOWS\services.exe');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

- скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

- если вы используете Opera, нажмите Opera - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению

Описание SDFix есть здесь

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

Желательно установить Recovery Console по инструкции - how-to-use-combofix, и http://support.microsoft.com/kb/310994 - скачайте установочный файл для своей ОС и сохраните на рабочий стол (напр. Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать также этот файл), закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix, подтвердите лицензионное соглашение и установите Microsoft Recovery Console. Доп. см. Программа для Windows XP Professional с пакетом обновления 2 (SP2): Установочные диски для установки с гибкого диска

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Link to comment
Share on other sites

Не могу скачать СДФикс, ни в какую не качается, пишет ошибку и всё.

К сообщению прикрепляю текст комбофикса.

На мыло отправил результат АВЗ.

Link to comment
Share on other sites

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Registry::[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati0dgxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati0gixx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati0lmxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati0pjxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati1qlxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati1xlxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati3wbxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati4boxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati4gdxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati4mqxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati5gxxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati5ycxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati6bwxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati6prxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati7chxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati7vpxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati8bpxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati8ccxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati8mtxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati8ttxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati8xfxx.sys]

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

CFScript.gif

Когда сохранится новый отчет ComboFix, скопируйте текст из C:\ComboFix.txt в сообщение, еcли лог окажется очень большой, запакуйте ComboFix.txt и прикрепите к сообщению.

И лог RSIT повторите.

Edited by akoK
Link to comment
Share on other sites

деинсталлируйте Bonjour Service

D:\WINDOWS\uninst.exe - проверьте на virustotal.com

Папки D:\khs, D:\khr знакомы? Файлы d:\windows\system32\autorun.in и d:\windows\system32\autorun.i удалите

Запустите AVZ - файл - восстановление системы - выберите п.10, или выполните скрипт

beginExecuteRepair(10);RebootWindows(true);end.

Проблемы какие наблюдаются?

Edited by Pili
Link to comment
Share on other sites

Бонжур удалил.

Прикрепляю как просили Логи АВЗ. Скрипт выполнил лог скинул тоже.

Pili , скрипт ваш выполнился без ошибок, всё нормально перегрузилось.

Файлы d:\windows\system32\autorun.in и d:\windows\system32\autorun.i не обнаружил у себя =)

О, пардон, они были скрытыми. Удалил.

Link to comment
Share on other sites

Onion: логи AVZ вы старые выложили

Сканирование запущено в 24.12.2008 19:36:51
- virusinfo_syscure.zip

и

Сканирование запущено в 24.12.2008 19:55:46
- virusinfo_syscheck.zip
D:\WINDOWS\uninst.exe - проверьте на virustotal.com

Папки D:\khs, D:\khr знакомы? Файлы d:\windows\system32\autorun.in и d:\windows\system32\autorun.i удалите

Проблемы какие наблюдаются?

Link to comment
Share on other sites

Результаты virustotal.com скопировал в блокнот, прикрепил.

________

Авз - новые логи прикрепил.

Как писал выше - D:\khs, D:\khr не знакомы. autorun.in и autorun.i - удалил. проблем нет.

Link to comment
Share on other sites

Да, ещё одно...

Проверяя реестр ККлинером он находит Отсутствие программы автозапуска D:\WINDOWS\services.exe, того, который собственно и клонировался в количесвте 100шт в моих процессах на компе. Клонов не, но и программы этой по видимому тоже =)

Link to comment
Share on other sites

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Folder::D:\khsD:\khrRegistry::[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati0dgxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati0gixx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati0lmxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati0pjxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati1qlxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati1xlxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati3wbxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati4boxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati4gdxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati4mqxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati5gxxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati5ycxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati6bwxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati6prxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati7chxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati7vpxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati8bpxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati8ccxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati8mtxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati8ttxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati8xfxx.sys]

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

CFScript.gif

Когда сохранится новый отчет ComboFix, скопируйте текст из C:\ComboFix.txt в сообщение, еcли лог окажется очень большой, запакуйте ComboFix.txt и прикрепите к сообщению.

апакуйте пожалуйста папку C:\Qoobox\Quarantine\ и C:\SDFix\backups\backups.zip с паролем virus и пришлите на akok<at>pisem.net (at=@) с указанием пароля: virus в теле письма

Деинсталлируйте ComboFix: нажмите пусквыполнить - Combofix /u

Скачайте OTCleanIt, запустите, нажмите Clean up

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

Link to comment
Share on other sites

SDFix не смог скачать, хотя пробовал более 3х источников, выписывало всё время ошибку.

Qoobox\Quarantine прикрепил тут. буду пока делать описанные вами процедуры новыми программами.

вот

i

Уведомление:

Карантин надо было отправить на почтовый ящик

Edited by akoK
Link to comment
Share on other sites

В карантине ничего вредоносного не оказалось. :doh:

Как самочувствие пациента?

Edited by akoK
Link to comment
Share on other sites

Malwarebytes' Anti-Malware 1.31

Версия базы данных: 1551

Windows 5.1.2600 Service Pack 2

27.12.2008 1:02:56

mbam-log-2008-12-27 (01-02-56).txt

Тип проверки: Полная (C:\|D:\|)

Проверено объектов: 135128

Прошло времени: 36 minute(s), 59 second(s)

Заражено процессов в памяти: 0

Заражено модулей в памяти: 0

Заражено ключей реестра: 0

Заражено значений реестра: 1

Заражено параметров реестра: 0

Заражено папок: 0

Заражено файлов: 0

Заражено процессов в памяти:

(Вредоносные программы не обнаружены)

Заражено модулей в памяти:

(Вредоносные программы не обнаружены)

Заражено ключей реестра:

(Вредоносные программы не обнаружены)

Заражено значений реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\services (Trojan.Agent) -> Quarantined and deleted successfully.

Заражено параметров реестра:

(Вредоносные программы не обнаружены)

Заражено папок:

(Вредоносные программы не обнаружены)

Заражено файлов:

(Вредоносные программы не обнаружены)

____________________

Вот такое самочуствие =)

Мне подсказывали есть программа для восстановления регистра...может она поможет? и какая она? ))

Link to comment
Share on other sites

Выполните ещё скрипт

beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('D:\WINDOWS\services.exe','');QuarantineFile('d:\windows\uninst.exe','');DeleteFile('D:\WINDOWS\services.exe');DeleteFile('d:\windows\uninst.exe');BC_ImportDeletedList;ExecuteSysClean;BC_Activate;ExecuteWizard('TSW', 1, 1, true);ExecuteWizard('BT', 1, 1, true);SetAVZPMStatus(True);RebootWindows(true);end.

Повторите логи virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) и hijackthis

Какие проблемы ещё наблюдаются?

Мне подсказывали есть программа для восстановления регистра...может она поможет? и какая она? ))

Для чистки или сохранения? Если последнее, то например ERUNT, если заранее сохраняли реестр, combofix при запуске тоже сохраняет реестр с помощью ERUNT, поищите в D:\WINDOWS\ERUNT

Link to comment
Share on other sites

По логам чисто.

Запустите в AVZ, Файл - Мастер поиска и устранения проблем, выберите все системные проблемы, выставьте степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера".

Обновите Java Runtime Environment (JRE)

Скачайте JavaRA здесь или здесь

Распакуйте, запустите, выберите "Remove Older Versions",

Далее нажмите "Search For Updates", выберите "Update Using Sun Java's Website" и "Open Webpage"

Альтернативный вариант - после удаления старой версии скачайте и установите последнюю версию Java Runtime Environment (JRE) с сайта производителя.

Установите также последнюю версияю Adobe Acrobat.

Создайте новую контрольную точку восстановления и очистите предыдущие:

- Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить

- Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать

Рекомендую установить WindowsXP SP3 и все последующие обновления - http://windowsupdate.microsoft.com

Для предотвращения заражения, рекомендую не работать за компьютером с правами администратора, отключить неиспользуемые службы, отключить автозапуск со съемных носителей, не использовать Internet Explorer или отключить в нем ActiveX, пользоваться браузером Opera или Firefox c плагином NoScript и AdBlock Plus

Для отключения автозапуска скопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените.

Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]"AutoRun"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]"NoDriveTypeAutoRun"=dword:000000ff[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]@="@SYS:DoesNotExist"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]"*.*"=""

Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista" и следовать рекомендациям, описанным в этой книге.

Полезная информация (на англ. яз):

Malware_Prevention:_Prevent_Re-infection

Malware Removal and Prevention Overview

Чистого вам интернета!

Link to comment
Share on other sites

Спасибо вам всем за помощь, добрые люди, первоначальная проблема устранена и других не наблюдается, будем стараться не попадаться =)

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...