Sirenko Posted January 24, 2010 Report Share Posted January 24, 2010 действовал согласно Правилам по краткой схеме. CureIt сохранить не удалось ни с оффициального ресурса, ни с зеркал (работать с другой машиной пока не могу). В процессе avz4.exe переименовал на 4zva.exe. Симптомы классические для abp470n5: блокировка Диспетчера задач, regedit и т.д. под предлогом отключения администратором. virusinfo_syscheck.zip и virusinfo_syscure.zip выложил с расширением .txt, т.к. с оригинальным расширением не позволяет. virusinfo_syscheck.txt virusinfo_syscure.txt info.txt log.txt virusinfo_syscheck.txt virusinfo_syscure.txt info.txt log.txt Link to comment Share on other sites More sharing options...
akoK Posted January 25, 2010 Report Share Posted January 25, 2010 virusinfo_syscure.txt А можно файлы с расширением zip? Link to comment Share on other sites More sharing options...
DJFlint Posted January 25, 2010 Report Share Posted January 25, 2010 Достаточно поменять расширение на zip. Link to comment Share on other sites More sharing options...
edde Posted January 25, 2010 Report Share Posted January 25, 2010 (edited) Здравствуйте Выполните скрипт beginSearchRootkit(true, true);SetAVZGuardStatus(true);StopService('abp470n5');QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\winfewkar.exe',' ');QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\winouhspx.exe',' ');QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\winlidx.exe',' ');QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\winshvu.exe',' ');QuarantineFile('C:\WINDOWS\Cleanup.exe',' ');QuarantineFile('C:\WINDOWS\TASKMAN.EXE',' ');QuarantineFile('C:\WINDOWS\system32\batt.dll',' ');QuarantineFile('C:\WINDOWS\NOTEPAD.EXE',' ');DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\winfewkar.exe');DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\winouhspx.exe');DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\winlidx.exe');DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\winshvu.exe');DeleteFile('C:\WINDOWS\Cleanup.exe');DeleteFile('C:\WINDOWS\TASKMAN.EXE');DeleteFile('C:\WINDOWS\NOTEPAD.EXE');BC_ImportALL;ExecuteSysClean;BC_DeleteSvc('abp470n5');BC_Activate;ExecuteRepair(6);ExecuteRepair(8);ExecuteRepair(9);ExecuteRepair(11);ExecuteRepair(17); RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. После перезагрузки выполнить второй скрипт: beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме. Скачайте и запустите http://oldtimer.geekstogo.com/TFC.exe перезагрузите компьютер Скачайте Cure it http://www.freedrweb.com/cureit/ Повторите логи Edited January 25, 2010 by edde Link to comment Share on other sites More sharing options...
Sirenko Posted January 25, 2010 Author Report Share Posted January 25, 2010 Благодарю! буду действовать согласно инструкции. Link to comment Share on other sites More sharing options...
Sirenko Posted January 25, 2010 Author Report Share Posted January 25, 2010 в ответ на запуск скрипта выдает ошибку Line: 30 Char: 5 Error: Expected identifier в ответ на запуск скрипта выдает ошибку Line: 30 Char: 5 Error: Expected identifier только что понял:) запускаю в АВЗ. извените за недоходливость. Link to comment Share on other sites More sharing options...
edde Posted January 25, 2010 Report Share Posted January 25, 2010 Вы не до конца скопировали скрипт Line: 30 Char: 5 это точка после end её наверное плохо видно :) будьте внимательнее. Link to comment Share on other sites More sharing options...
Sirenko Posted January 25, 2010 Author Report Share Posted January 25, 2010 (edited) не могу отправить на newvirus@kaspersky.com файл quarantine.zip - оно упорно блокирует страницы ящика "Написать письмо" и "Отправить файл". Выложил файл здесь - если можно, отошлите его с разширением .zip. ещё раз извените :) i Уведомление:Удалил карантин Edited January 25, 2010 by akoK Link to comment Share on other sites More sharing options...
edde Posted January 25, 2010 Report Share Posted January 25, 2010 (edited) i Уведомление:Уберите карантин. Новые логи сделайте и лог RSIT обязательно Edited January 25, 2010 by edde Link to comment Share on other sites More sharing options...
Sirenko Posted January 26, 2010 Author Report Share Posted January 26, 2010 здравствуйте! пауза затянулась, т.к. вчера с вечера запустил полный скан CureIt (вот почти сутки и вышло :g: ). Вирус определяется как Win32.Sector.12. Все файлы вроде бы как исцелены. Вот логи: virusinfo_syscheck.zip virusinfo_syscure.zip log.txt info.txt virusinfo_syscheck.zip virusinfo_syscure.zip log.txt info.txt Link to comment Share on other sites More sharing options...
edde Posted January 26, 2010 Report Share Posted January 26, 2010 Скачайте Icesword или с зеркала Запустите программу. Внизу слева выберите меню File. Появится аналог проводника. Найдите в нем файл C:\WINDOWS\system32\drivers\tpljhh.sy Нажмите по нему правой кнопкой мыши и выберите force delete. На запрос потверждения ответьте "да". Перезагрузите компьютер. Выполните скрипт авз beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\WINDOWS\system32\drivers\tpljhh.sys','');DeleteFile('C:\WINDOWS\system32\drivers\tpljhh.sys');BC_ImportALL;ExecuteSysClean;BC_DeleteSvc('abp470n5');BC_Activate;RebootWindows(true);end. Компьтер перезагрузится Подключитесь к интернет обновите базы авз, повторите логи Link to comment Share on other sites More sharing options...
Sirenko Posted January 26, 2010 Author Report Share Posted January 26, 2010 edde, Icesword не показывает этого файла. Посмотрел я через Администрирование/Службы и устройства список devices - есть там эта abp470np (путь C:\WINDOWS\system32\drivers\tpljhh.sys), но уже отключена. Я ее удалил. Как быть далее? Link to comment Share on other sites More sharing options...
Sirenko Posted January 26, 2010 Author Report Share Posted January 26, 2010 edde, Icesword не показывает этого файла. Посмотрел я через Администрирование/Службы и устройства список devices - есть там эта abp470np (путь C:\WINDOWS\system32\drivers\tpljhh.sys), но уже отключена. Я ее удалил. Как быть далее? После выполнил Ваш скрипт, обновил базы, получил логи: virusinfo_syscheck.zip virusinfo_syscure.zip log.txt virusinfo_syscheck.zip virusinfo_syscure.zip log.txt Link to comment Share on other sites More sharing options...
edde Posted January 26, 2010 Report Share Posted January 26, 2010 (edited) выполните скрипт авз beginExecuteRepair(6);ExecuteRepair(11);ExecuteRepair(12);ExecuteRepair(17);RebootWindows(true);end. Компьтер перезагрузится карантин созданный во время подготовки предыдущих логов quarantine.zip отправьте на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме. Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение. Edited January 26, 2010 by edde Link to comment Share on other sites More sharing options...
Sirenko Posted January 26, 2010 Author Report Share Posted January 26, 2010 Отчет MBAM Проверено объектов: 253335 Прошло времени: 25 minute(s), 58 second(s) Заражено процессов в памяти: 0 Заражено модулей в памяти: 0 Заражено ключей реестра: 0 Заражено значений реестра: 0 Заражено параметров реестра: 3 Заражено папок: 0 Заражено файлов: 2 Заражено процессов в памяти: (Вредоносные программы не обнаружены) Заражено модулей в памяти: (Вредоносные программы не обнаружены) Заражено ключей реестра: (Вредоносные программы не обнаружены) Заражено значений реестра: (Вредоносные программы не обнаружены) Заражено параметров реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Заражено папок: (Вредоносные программы не обнаружены) Заражено файлов: C:\Program Files\Total Commander\Soft\fitW\fitW.exe (Malware.Packer) -> Quarantined and deleted successfully. C:\Program Files\Total Commander\Plugins\arc\Default.sfx (Malware.Packer) -> Quarantined and deleted successfully. Link to comment Share on other sites More sharing options...
edde Posted January 26, 2010 Report Share Posted January 26, 2010 Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /u, нажмите кнопку "ОК" Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up[/img] Как самочувствие? Link to comment Share on other sites More sharing options...
Sirenko Posted January 27, 2010 Author Report Share Posted January 27, 2010 Как самочувствие? Явно веселее :)! Windows не находит ComboFix. OTCleanIt выполнил. Единственное, что не так: не запускаются некоторые службы Администрирования - например Управление компьютером на запуск выдает окно (mmc.exe - Не удалось найти компонент) Приложению не удалось запуститься, поскольку MSIMG32.dll не был найден. Повторная установка приложения может исправить проблему. MSIMG32.dll в папке system32 есть, но при запуске выдает: MSIMG32.dll была загружена, но найти точку входа для DllRegisterServer не удалось. Загрузить файл невозможно. От newvirus ответа пока нет. Еще один вопрос: я во время заражения компьютера сдуру сунул в USB свою чистую флешку. Что с ней делать теперь? edde, спасибо за терпение! Link to comment Share on other sites More sharing options...
edde Posted January 27, 2010 Report Share Posted January 27, 2010 Выполните скрипт авз beginRegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);ExecuteRepair(6);ExecuteRepair(8);RebootWindows(true);end. компьютер перезагрузится если не поможет Попробуйте выполнить проверку системных файлов Вставьте диск с дистрибутивом windows в привод, откройте командную строку наберите sfc /scannow Дождитесь окончания проверки системных файлов. Установите настройки безопасности IE по умочанию И повторите логи. Link to comment Share on other sites More sharing options...
Sirenko Posted January 27, 2010 Author Report Share Posted January 27, 2010 выполнил оба варианта, но Консоль управления не запускается по той же причине. логи авз (rsit был удален вместе с папкой во время сеанса OTCleanIt, загрузить заново?): virusinfo_syscheck.zip virusinfo_syscure.zip virusinfo_syscheck.zip virusinfo_syscure.zip Link to comment Share on other sites More sharing options...
edde Posted January 27, 2010 Report Share Posted January 27, 2010 (edited) Да, rsit придется загрузить по новой. Пришлите карантин на myedde[@]mail.ru Edited January 27, 2010 by edde Link to comment Share on other sites More sharing options...
Sirenko Posted January 27, 2010 Author Report Share Posted January 27, 2010 ну вот хоть убейте, не могу quarantine.zip (4,7 МВ) загрузить на отправку! Пользуюсь порталом ukr.net, загружает 192 кВ и дальше сбой. Буду пытаться еще. сделал новые логи: virusinfo_syscheck.zip virusinfo_syscure.zip log.txt info.txt virusinfo_syscheck.zip virusinfo_syscure.zip log.txt info.txt Link to comment Share on other sites More sharing options...
edde Posted January 27, 2010 Report Share Posted January 27, 2010 http://upload.tempfile.ru/ Link to comment Share on other sites More sharing options...
Sirenko Posted January 27, 2010 Author Report Share Posted January 27, 2010 только что выслал Вам карантин на почту (побил на 3 части) Link to comment Share on other sites More sharing options...
edde Posted January 27, 2010 Report Share Posted January 27, 2010 (edited) В карантине чисто,так что можно вас поздравить Скачайте и распакуйте в отдельную папку - Registry Search (зеркало) Запустите утилиту. В верхнем окне, предназначенном для поиска введите <.......> и нажмите кнопку "OK". В блокноте откроется текст, скопируйте его и вставьте в следующее сообщение. В верхнем окне, предназначенном для поиска введите, fystemroot Скачайте и запустите http://support.kaspersky.ru/downloads/util...ity_regkeys.zip перезагрузите компьютер. (Не запускайте ключи не для своей системы). Edited January 27, 2010 by edde Link to comment Share on other sites More sharing options...
Sirenko Posted January 27, 2010 Author Report Share Posted January 27, 2010 Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.6.0 ; Results at 27.01.2010 17:02:33 for strings: ; 'fystemroot' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS ; End Of The Log... Link to comment Share on other sites More sharing options...
Recommended Posts