Jump to content
СофтФорум - всё о компьютерах и не только

Последствия вируса

Iskand
 Share

Recommended Posts

Iskand

Iskand

Posted
Posted

Здравствуйте, первого числа сего года выскочил вирус – окно почти на весь экран с полем для ввода кода, код естественно предлагается получить отправиви СМС. Применил утелиту Doctorweb Cureit. Вирус удалил. Но остались последствия. IE7 запускается но при попытке выйти в интернет происходит сбой и это касается всех программ которые используют сервис IE для выхода в интернет. Аваст не обновляется по этой же причине. Сбоят и др. приложения. Не работает пингование – пинг не идет. Мозилла в интернет выходит без проблем. Появлялось сообщение о сбое Generic Host Process for win32 Services, установил заплатку KB894391 которая вроде как должна была помочь – ничего не изменилось. Удалил IE7 и затем вновь установил – не помогло. Чувствую что при борьбе с вирусом было что то удалено (dll) нужное а что не знаю. До Doctorweb Cureit пытался лечить компьютер Malwarebytes Anti-Malware. Присоединяю некоторые скрины которые возможно помогут для решения проблемы. Если кто может помогите, пожалуйста.

http://clip2net.com/page/m0/3266334

http://clip2net.com/page/m0/3266357

http://clip2net.com/page/m0/3266363

http://clip2net.com/page/m0/3266376

При работе в Twek тоже возникают сбои:

http://clip2net.com/page/m0/3266393

Прикрепляю файлы отчетов программ AVZ RSIT.

virusinfo_syscure.zip

virusinfo_syscheck.zip

log.txt

info.txt

virusinfo_syscure.zip

virusinfo_syscheck.zip

log.txt

info.txt

Link to comment
Share on other sites
akoK

akoK

Posted
Posted

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);SetServiceStart('symavc32', 4);SetServiceStart('smtpdrv', 4);QuarantineFile('C:\WINDOWS\system32\drivers\symavc32.sys','');QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');QuarantineFile('C:\WINDOWS\system32\DRIVERS\wATV03nt.sys','');QuarantineFile('C:\WINDOWS\system32\Drivers\cdidrv.sys','');QuarantineFile('C:\Documents and Settings\Алла\Cookies\userlib.dll','');QuarantineFile('btasv.dll','');DeleteFile('btasv.dll');DeleteFile('C:\Documents and Settings\Алла\Cookies\userlib.dll');DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys');DeleteService('symavc32');DeleteService('smtpdrv');DelBHO('{0245D364-5F52-44ac-B6EB-7BAD6E3D7EF2}');BC_ImportALL;ExecuteSysClean;BC_Activate;ExecuteRepair(14);RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Пофиксить в HijackThis следующие строчки 

O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll

Обновите базы AVZ и повторите логи.

Link to comment
Share on other sites
Iskand

Iskand

Posted
  • Author
Posted

Скрипт запустил, он успешно выполнился. Компьютер пошел на перезагрузку и завис.

Сделал reset.

Обновление баз в AVZ не доступно.

http://clip2net.com/page/m0/3277576

На почту выслал то что просили.

Еще вопрос – как пофиксить в HijackThis?

Link to comment
Share on other sites
шпилька

шпилька

Posted
Posted (edited)

Еще вопрос – как пофиксить в HijackThis?

В логе сканирования от HijackThis поставьте галочку напротив:

O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll

и нажмите "Fix сhecked".

Edited by шпилька
Link to comment
Share on other sites
Iskand

Iskand

Posted
  • Author
Posted

C:\Documents and Settings\Алла\Cookies\userlib.dll - Trojan.Winlock.712

Я так понимаю он был удален скриптом

"QuarantineFile('C:\Documents and Settings\Алла\Cookies\userlib.dll','');"

и сейчас я его там не наблюдаю. Есть только userlib.dbb.

Кроме того хочу добавить что после выполнения скрипта уже и моззила не выходит в интернет. (((

Что мне делать дальше?

Link to comment
Share on other sites
Iskand

Iskand

Posted
  • Author
Posted

Скачайте архив с базой AVZ и распакуйте его в папку /AVZ/Base. Затем повторите логи.

Там проблема с сайтом какая то - не идет закачка, ни через браузер ни через DownLoad Master.

И потом вопрос - как AVZ перенаправить брать обновления с этой папки а не из интернета?

Link to comment
Share on other sites
Iskand

Iskand

Posted
  • Author
Posted

Iskand, каким браузером скачиваете?

Все прекрасно скачивается, а куда архив распаковать уже подсказал Matias.

3.jpg

Странно...

http://clip2net.com/page/m0/3281593

Ни Опера не качает ни IE, ни менеджер закачек.

Мозилла тоже самое:

http://clip2net.com/page/m0/3281654

Link to comment
Share on other sites
akoK

akoK

Posted
Posted

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и скопируйте в сообщение.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Скачал, распаковал в папку base, а как AVZ задать путь сюда а не с интернета брать обновления?

Вы уже обновили базы.

Link to comment
Share on other sites
Iskand

Iskand

Posted
  • Author
Posted

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и скопируйте в сообщение.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Вы уже обновили базы.

Эта программа у меня установлена и я уже делал Perform Full Scan, это занимает по времени более 12 часов. Ничего обнаружено не было. За исключением в restory, что и было удалено.

Link to comment
Share on other sites
edde

edde

Posted
Posted

Оставьте только один антивирус, у вас в загруженных процессах и аваст и нод и еще хвосты от касперский анти хакер обитаются, вам никто не говорил что до добра это не доведет. Удалите лишнее защитное по, после этого выгрузите оставшийся антивирус и повторите логи.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...