Jump to content
СофтФорум - всё о компьютерах и не только

Помогите справится с вирусами

kabashok
 Share

Recommended Posts

kabashok

kabashok

Posted
Posted

Здравствуйте, помогите мне пожалуйста! Я новичок в борьбе с вирусами, раньше всегда приходилось вызывать мастера, в этот раз хочу попробовать сама с вашей помощью.

Началось все с того, что однажды, при включении компа мне предложили отправить sms, чтобы разблокировать систему. После этого прогнала на вирусы, удалила, те что нашла.

Дальше комп стал тормозить, иногда зависал, выбрасывал из программ, а со вчерашнего дня программы начинают работать только после перезагрузки через F8, виснет, пропадала панель управления, из области уведомлений исчез значок аваста и отключается резидентская защита, переустановила, ничего не изменилось.

Сделала все как написано, трижды зависал cureit, пока удалось просканировать. Программы avz4 и HijackThis пришлось переименовать в 9090.bat

Что нужно сделать, чтобы убить зловредов, переустанавливать очень не хочется.

virusinfo_syscure.zip

virusinfo_syscheck.zip

info.txt

log.txt

virusinfo_syscure.zip

virusinfo_syscheck.zip

info.txt

log.txt

Link to comment
Share on other sites
thyrex

thyrex

Posted
Posted

Выполните скрипт в AVZ

 beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\WINDOWS\services.exe','');QuarantineFile('C:\Temp\winlogon.exe','');QuarantineFile('C:\WINDOWS\system32\1049u.exe','');DeleteService('lanmanserverSpooler');DeleteFile('C:\WINDOWS\system32\1049u.exe');DeleteFile('C:\Temp\winlogon.exe');DeleteFile('C:\WINDOWS\services.exe');DeleteFileMask('C:\Temp\', '*.*', true);BC_ImportAll;ExecuteSysClean;BC_Activate;ExecuteRepair(9);RebootWindows(true);end.

Компьютер перезагрузится.

Выполнить скрипт в AVZ.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В письме укажите пароль на архив virus. Полученный ответ сообщите здесь.

Пофиксить в HiJack (некоторых строчек может не быть)

 F2 - REG:system.ini: UserInit=userinit.exeO4 - HKLM\..\Run: [services] C:\WINDOWS\services.exeO4 - HKCU\..\Run: [Firewall auto setup] C:\Temp\winlogon.exe

Сделайте новые логи

Link to comment
Share on other sites
kabashok

kabashok

Posted
  • Author
Posted

Спасибо за ответ!

Первый скрипт сделала, комп быстрее стал, появился в уведомлении аваст.

Втрой сделала, письмо отправила, жду.

Немного не поняла с третьим, если можно для тупых чуть подробнее, как это вставить.

Еще вопрос, логи делать все снова или только АВЗ?

Пофиксить в HiJack (некоторых строчек может не быть)

Нашла, как делать, сейчас выполню

Спасибо за ответ!

Первый скрипт сделала, комп быстрее стал, появился в уведомлении аваст.

Втрой сделала, письмо отправила, жду.

Немного не поняла с третьим, если можно для тупых чуть подробнее, как это вставить.

Еще вопрос, логи делать все снова или только АВЗ?

Пофиксить в HiJack (некоторых строчек может не быть)

Нашла, как делать, сейчас выполню

O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe

O4 - HKCU\..\Run: [Firewall auto setup] C:\Temp\winlogon.exe

Этих двух строчек не нашла

Link to comment
Share on other sites
Alex56

Alex56

Posted
Posted

Скачайте OTMoveIt3 by OldTimer или с зеркала и сохраните на рабочий стол.

Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)

временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

:Processesexplorer.exe:Services:FilesC:\fun.xls.exeD:\fun.xls.exe:Reg[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6ba5928b-ec2d-11dc-ac95-00195b8616dd}]:Commands[purity][emptytemp][start explorer][Reboot]

В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.

Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Link to comment
Share on other sites
kabashok

kabashok

Posted
  • Author
Posted

Вот , что получилось:

Error: Unable to interpret <Processes> in the current context!

Error: Unable to interpret <explorer.exe> in the current context!

========== SERVICES/DRIVERS ==========

========== FILES ==========

File/Folder C:\fun.xls.exe not found.

File/Folder D:\fun.xls.exe not found.

========== REGISTRY ==========

Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6ba5928b-ec2d-11dc-ac95-00195b8616dd}\\ deleted successfully.

========== COMMANDS ==========

File delete failed. C:\Temp\fla5.tmp scheduled to be deleted on reboot.

User's Temp folder emptied.

User's Internet Explorer cache folder emptied.

File delete failed. C:\Documents and Settings\Пользователь\Local Settings\Temporary Internet Files\Content.IE5\QZGRYVQP\CAT8K3PP.ru scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Пользователь\Local Settings\Temporary Internet Files\Content.IE5\QZGRYVQP\CAZE8RVD.0&w=160&h=90&u_h=768&u_w=1024&u_ah=768&u_aw=1024&u_cd=32&u_tz=240&u_his=1&u_java=true&dtd=62 scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Пользователь\Local Settings\Temporary Internet Files\Content.IE5\MLEPWH8Z\CAAV4R3C.ru scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Пользователь\Local Settings\Temporary Internet Files\Content.IE5\KTEZW1EZ\CA1SIP9Z.ru scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Пользователь\Local Settings\Temporary Internet Files\Content.IE5\KTEZW1EZ\iframe[1].htm scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Пользователь\Local Settings\Temporary Internet Files\Content.IE5\KTEZW1EZ\index[1].php scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Пользователь\Local Settings\Temporary Internet Files\Content.IE5\8B8NEHWF\tns_cnt[3].htm scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Пользователь\Local Settings\Temporary Internet Files\Content.IE5\89YJ4X6J\palette[1].htm scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Пользователь\Local Settings\Temporary Internet Files\Content.IE5\2J8DM50J\CASPAHZC.ru scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Пользователь\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.

User's Temporary Internet Files folder emptied.

Local Service Temp folder emptied.

File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.

Local Service Temporary Internet Files folder emptied.

Network Service Temp folder emptied.

File delete failed. C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.

Network Service Temporary Internet Files folder emptied.

File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_610.dat scheduled to be deleted on reboot.

Windows Temp folder emptied.

Java cache emptied.

FireFox cache emptied.

Temp folders emptied.

Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.11.0 log created on 05282009_200957

И еще висит и ни на что не реагирует брандмауэр. Пока писала сообщение, вот такая картинка появилась, уже не в первый раз.

Link to comment
Share on other sites
kabashok

kabashok

Posted
  • Author
Posted

Вот, что я получила, на свое письмо:

This is the mail system at host mailgate.kaspersky-labs.com.

####################################################################

# THIS IS A WARNING ONLY. YOU DO NOT NEED TO RESEND YOUR MESSAGE. #

####################################################################

Your message could not be delivered for more than 4 hour(s).

It will be retried until it is 5 day(s) old.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can

delete your own text from the attached returned message.

Link to comment
Share on other sites
thyrex

thyrex

Posted
Posted

Перед выполнением скриптов в AVZ, сначала в AVZ включите AVZPM (выбрать первую строчку в соответствующем меню программы).

И еще такое указание выполните

Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Если не будет запускаться, попробуйте переименовать gmer.exe, например, в game.exe

Link to comment
Share on other sites
kabashok

kabashok

Posted
  • Author
Posted

Перед выполнением скриптов в AVZ, сначала в AVZ включите AVZPM (выбрать первую строчку в соответствующем меню программы).

И еще такое указание выполните

Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Если не будет запускаться, попробуйте переименовать gmer.exe, например, в game.exe

Только экспресс-проверка, дальше не двигаемся, табличка выскакивает, да, утилиту переименовала, но безрезультатно

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

Link to comment
Share on other sites
thyrex

thyrex

Posted
Posted

Что происходит при попытке выполнить полную проверку с помощью gmer?

Кнопкe Scan нажимаете?

Сделайте логи с помощью полиморфного AVZ из моей подписи с включенным AVZPM

Link to comment
Share on other sites
kabashok

kabashok

Posted
  • Author
Posted

Что происходит при попытке выполнить полную проверку с помощью gmer?

Кнопкe Scan нажимаете?

Сделайте логи с помощью полиморфного AVZ из моей подписи с включенным AVZPM

ничего не происходит, кнопка неподвижна.

Постараюсь, но трудно, виснет через5-7 мин после включения, и появляется надпись, как на скрине.

Link to comment
Share on other sites
kabashok

kabashok

Posted
  • Author
Posted

Помогите, совсем беда, сделать логи не дает даже из безопасного режима, появляются табличеи про свхост и вин32, все сразу виснет.

Link to comment
Share on other sites
thyrex

thyrex

Posted
Posted

Просил логи с помощью полиморфного AVZ, а Вы сделали с помощью обычного

Переделайте.

Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).

Базы МВАМ можно обновить отдельно - downloading the update MBAM

Link to comment
Share on other sites
kabashok

kabashok

Posted
  • Author
Posted

Просил логи с помощью полиморфного AVZ, а Вы сделали с помощью обычного

Переделайте.

Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).

Базы МВАМ можно обновить отдельно - downloading the update MBAM

Сейсас попробую скачать и сделать, то что просите.

Он у меня виснет через 5-7 минут после перезагрузки,

Просил логи с помощью полиморфного AVZ, а Вы сделали с помощью обычного

Я нажимала на AVZPM , дальше установить драйвер расширенного мониторинга процессов, установила, он включен, так и сканировала, может не так сделала?

Я сейчас в безопасном режиме, из такого выбрасывает.

Link to comment
Share on other sites
thyrex

thyrex

Posted
Posted

Полиморфный АVZ (тот, что у меня в подписи) виснет или я что-то не понимаю?

Вы пытаетесь сделать логи в безопасном режиме?

Link to comment
Share on other sites
kabashok

kabashok

Posted
  • Author
Posted

Полиморфный АVZ (тот, что у меня в подписи) виснет или я что-то не понимаю?

Вы пытаетесь сделать логи в безопасном режиме?

Сейчас да, из безопасного, комп с катушек съехал совсем.

Скачала тот, что у вас в подписи, там ярлык мс-dos, нвжимаю выскакивает программа AVZ

Прогнала там столько всег , и не знаю, что удалаять, вот прикркпила, боюсь удалить лишнее

mbam_log_2009_05_29__19_29_03_.txt

mbam_log_2009_05_29__19_29_03_.txt

Link to comment
Share on other sites
thyrex

thyrex

Posted
Posted (edited)

Так и должно быть. Это же AVZ :)

Просто его под таким именем разместили на файлообменнике.

Логи AVZ нужно делать в нормальном режиме

В логе MBAM можно отметить все пункты. И нажимать удаление

Разве что эти

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

можно не трогать, если не хотите заново настраивать Центр оповещения безопасности Edited by thyrex
Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share
Go to topic listing

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...