Перейти к содержанию
СофтФорум - всё о компьютерах и не только

Он-Лайн Антивирус


Рекомендуемые сообщения

Доброго времени суток, уважаемые форумчане! Требуется Ваша помощь, т.к. сам разобраться не в состоянии. Произошло следующее- мой товарищ желал скачать некую телепередачу. Поиски привели его на некий файлообменник типа "Рапид шар" или "Лет ит бит" (прошу прощения за русскую транскрипцию). После клика на ссылку для закачивания файла окно браузера и рабочий стол - все исчезло. И на совершенно черном экране вышло сообщение примерно следующего содержания:" Он Лайн Антивирус. В вашей системе обнаружен вирус. Для его удаления отправьте сообщение на номер такой-то. Вам придет код для дезактивации вируса" и так далее в таком духе. Был еще и таймер обратного отсчета времени, за которое необходимо было отправить смс сообщение. Больше ни на какие действия комп не отзывался. При попытке вызова диспетчера задач выбрасывало сообщение о его блокировке администратором. Выключить системник оказалось возможным только выдернув шнур питания из сети. Было принято решение о переустановке Windows. Однако сборку Loner XP, которая раньше никогда не подводила, нам установить не удалось. Тогда был приобретен новый жесткий диск, взята другая сборка Винды и мы повторили установку. На новый винт система встала без проблем и около часа исправно работала. А далее опять - черное поле и тоже сообщение о вирусе в системе и полное зависание. Если кто сталкивался с подобной проблемой - буду очень признателен за любую информацию и помощь! Изначально на компьютере была установлена Loner XP, антивирус ESET NOD32 и браузер использовался Mozilla Firefox. Интернет соединение - выделенная линия. Локальной сети нет. Жестких диска два - один системный, второй - под хранение всего остального. Заменялся только системный. Заранее прошу прощения у модераторов раздела если я нарушил правила форума! Очень надеюсь на Вашу помощь!

Ссылка на комментарий
Поделиться на другие сайты

Sanada: ну, дело в том, что нет такой ОС Win XP - "Loner XP". Во многих сборках (Zver XP) есть большая дыра, под название RAmin, хотя могут быть и другие, это одному создателю "Loner XP" известно. Быть может он сделал "Loner XP" в корыстных целях? А может просто отключил в ОС то, что посчитал не важным для него.

Вы проверяли запущенные и отключённые службы то?

Запустив поисковик Google и набрав Loner-XP проблемы я нашёл сайты распространители. Читаем ЭТО

Злонамеренное программное обеспечение включает 17 scripting деяний (й), 12 троянский (s), 12 деяний (й). Успешная инфекция привела к среднему числу 2 новых процессов (ов) на целевой машине.
или ЭТО.

Думаю дальше комментарии излишни.

По вирусам, те по их убиению я не специалист, а просто прокомментировал, но основные рекомендации будут, уже не от меня - поставьте Win XP, а не Loner XP, Zver XP, etc. Ну, а уж потом выполните Правила подраздела, хотя может быть вирусо-убиватели изменят последовательность действий, но это мало вероятно (моя точка зрения).

PS Надо брать не сборки, а дистрибутивы. Я правда себе сам собирал Win XP SP3, но я знаю что там находится, что включено, что выключено и какое ПО ставится автоматом. Сборка моя сделана на основе дистрибутива, те лец. версии от M$. Ну неужели так сложно найти/достать/купить лец. версию Win XP SP2/SP3, а? . А уж потом сделать свою сборку, так как вам нравится.

Чужие могут сборки работают быстрее, но за счёт чего? Вы об этом думали?

PPS Советую поставить расширение для Mozilla FireFox LinkExtend - Site Ratings.

Ссылка на комментарий
Поделиться на другие сайты

На чистом незараженном компьютере скачайте http://www.freedrweb.com/livecd/ запишите образ, загрузитесь с диска и проведите проверку всех разделов.

Инструкция http://www.freedrweb.com/livecd/how_it_works/

Ссылка на комментарий
Поделиться на другие сайты

довольно странное лечение вируса - замена диска.

Я бы постарался загрузиться с livecd и просканировать комп на вирусы, благо в интеренете подобных сборок достаточно. Как вапиант - бывают лечебные флешки.

Ссылка на комментарий
Поделиться на другие сайты

Доброго времени суток всем и прошу прощения за долгое отсутствие. Спасибо большое всем, кто откликнулся на мой вопрос! Уважаемый Indomito! В ответ на ваш комментарий замечу, что отчасти согласен с Вашим мнением и поддерживаю его, однако человек, поставивший себе эту сборку, абсолютно не сведущ в вопросах, касающихся работы Windows вообще и в вопросах безопасности в частности. Естественно он пошел по пути наиболее для него легкому - стоит ли осуждать его за это? По теме же хочу сказать следующее: поразмыслив в спокойной обстановке, я отключил все диски кроме системного и еще раз провел установку Windows с "чистого" дистрибутива - не сборки. Установив все необходимые для работы драйвера, поставил лиценз версию Kaspersky Internet Security 2010 и запустил сканирование и лечение. После этого подключил второй диск и повторил процедуру. Вот где был настоящий рассадник всякой заразы! Сейчас все хорошо и стабильно работает, надеюсь - так будет и впредь :bye1: . Уважаемый edde! Спасибо за ваш ответ и что не удалили мою тему, несмотря на полное нарушение всех правил подраздела! В дальнейшем обязуюсь делать все четко согласуясь с ними. Собственно по LiveCD, на образ которого Вы дали ссылку - не совсем понятно, как это должно работать, несмотря на инструкцию. У нас получилось следующее: скачав на чистом компьютере образ и записав его, запустили на зараженной системе. Запустили сканирование, которое очевидно должно было быть очень долгим. Однако во время скана компьютер находя какие-то файлы требовал на буржуйском подтверждения проведения с ними каких-то операций. Очевидно удаления. И переходил при этом в спящий режим. Просыпался по нажатию клавиши "Enter", но уже со значительным откатом назад в области сканирования. Ждать несколько суток до полного завершения мы не могли, поэтому я выполнил выше описанные операции с переустановкой и Касперским. Но все равно большое спасибо за ответ. Видимо тему можно удалять? Всем всего доброго!

Ссылка на комментарий
Поделиться на другие сайты

Доброго времени суток всем! Прошу квалифицированного анализа логов т.к. подозреваю наличие вируса. На этот раз все сделал согласно правилам подраздела и прилагаю логи HjT и AVZ

hijackthis.log

virusinfo_cure.zip

virusinfo_syscheck.htm

virusinfo_syscheck.xml

virusinfo_syscheck.zip

virusinfo_syscure.htm

virusinfo_syscure.xml

virusinfo_syscure.zip

hijackthis.log

virusinfo_cure.zip

virusinfo_syscheck.htm

virusinfo_syscheck.xml

virusinfo_syscheck.zip

virusinfo_syscure.htm

virusinfo_syscure.xml

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты

i

Уведомление:
Темы объеденил


Пофиксить в HijackThis следующие строчки
	F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Temp\cre1458.tmp 



AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\WINDOWS\system32\shell32.dll','');QuarantineFile('C:\Temp\mc22.tmp','');QuarantineFile('C:\Temp\cre1458.tmp','');DeleteFile('C:\Temp\cre1458.tmp');DeleteFile('C:\Temp\mc22.tmp');BC_ImportALL;ExecuteSysClean;BC_Activate;RebootWindows(true);end.


После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.




Полученный архив необходимо загрузить при помощи этой формы, не забудте указать пароль: virus


Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.


Скачайте GMER по одной из указанных ссылок:
Gmer со случайным именем, Gmer в zip-архиве (перед применением распаковать в отдельную папку)
- Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

  • Sections
  • IAT/EAT
  • Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Ссылка на комментарий
Поделиться на другие сайты

Доброго времени суток всем! Уважаемый akoK! Большое спасибо за подробные инструкции и оперативный ответ. Отчитываюсь в проделанных действиях. Перед выполнением Ваших инструкций я очистил все точки восстановления системы, кроме последней и отключил восстановление. Скачал предложенные Вами программы и обновил базы данных Malwarebytes' Anti-Malware и AVZ. После этого все действия производились с аппаратно отключенным интернет и выгруженным антивирусом(Kaspersky Internet Security 2010 лиценз) Перезагрузился в безопасный режим, запустил HijackThis, пофиксил указанную Вами строчку и стал перезагружаться в обычный режим. На "сохранении параметров Windows" комп завис. Пришлось делать хард резет по питанию. Дальше пошла обычная загрузка, прошел ПОСТ, загрузился рисунок рабочего стола и тут вышло окно командной строки и вместе с ним сообщение, что файл такой-то не найден и длиннющий адрес к нему. Жму "ОК" - загружается Mozilla Firefox, закрываю его, после этого наконец-то грузится все остальное. Далее в AVZ выполняю Ваши скрипты. Все прошло успешно. После этого запускаю Malwarebytes' Anti-Malware - обнаруживает 38 зараженных файлов. Все удаляю и отчет прилагается. Далее был запущен GMER. Во время экспресс-проверки сообщение о деятельности руткита не было. Запустил сканирование, но и тут про руткит ничего - просто пошла проверка. После ее завершения нажал "save" для сохранения лога и вот тут комп завис. На долго. У меня Logitech G15 клавиатура с ЖК дисплеем, на котором можно отобразить загрузку ЦП и оперативной памяти. Так вот, мой 4-х ядерный проц был загружен на 100%! А оператива на 11. По истечении 30 минут такой экзекуции я сделал хард резет. Может это и неправильно, но сделал. Так что лог этой программы мне снять не удалось. Вместо него прилагаю лог HJT. Конечно неважная замена, но хоть что-то. Кроме всего прочего оказалось, что кнопкой "Пуск" компьютер не выключается - только программно либо длительным нажатием. Буду очень признателен, если подскажете - что же делать дальше. Отчет в Лабораторию Касперского мне тоже отправить не удалось, т.к. суммарный объем файла, который они позволяют загрузить - не более 6МБ, а архив с карантином весит 12.

________________.txt

hijackthis.log

________________.txt

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты

Скачайте IceSword122en

Распакуйте и запустите утилиту

Зайдите слева в меню Process. Нажмите на кнопку Log, сохраните лог под каким хотите именем.

Зайдите в меню Kernel Module. Нажмите на кнопку Log, сохраните лог под каким хотите именем.

Оба лога запакуйте в один архив и прикрепите архив.

Ссылка на комментарий
Поделиться на другие сайты

Доброго времени суток всем и прошу прощения за долгое молчанье. Уважаемый akoK. к сожалению мне не удалось запустить рекомендованную Вами программу. Скачал, распаковал. Запускаю - окно с надписью - "Initialize failed, error: code 1." Жму "ОК" - следующее окно:" Initialize failed" И на этом - все. Пробовал погуглить - к сожалению с тем же результатом. Может я что-то неправильно делаю?

Ссылка на комментарий
Поделиться на другие сайты

Жаль. Попробуйте в безопасном режиме сделать лог Gmer.

Если не получится подготовить лог, то

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

- скачайте ATF Cleaner или с зеркала, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

- если вы используете Opera, нажмите Opera - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению

Описание SDFix есть здесь

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."

Ссылка на комментарий
Поделиться на другие сайты

Лог подготовил. Прилагаю. Перезагружаться из безопасного режима в обычный приходиться с помощью "Reset", иначе не получается.

log.log

log.log

Ссылка на комментарий
Поделиться на другие сайты

Все сделал по инструкции. Обе программы сработали удачно и без проблем. Логи прилагаю. Проверьте пожалуйста - все ли теперь в порядке?

Report.txt

ComboFix.txt

Report.txt

ComboFix.txt

Ссылка на комментарий
Поделиться на другие сайты

Активного заражения не вижу. Но вижу следы AVG в системе.

http://www.softboard.ru/index.php?showtopic=52668 - очистите следы.

Деинсталируйте Ad-Aware.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду ComboFix /Uninstall, нажмите кнопку "ОК"

Combofix-unninstal.JPG

Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Ссылка на комментарий
Поделиться на другие сайты

Большое спасибо Вам за помощь! На данный момент все работает достаточно быстро и стабильно. Присутствия "посторонних" в системе не чувствуется. Правда кнопкой "Пуск" комп так и не выключается, но это не такая уж большая проблема :bleh:. Загружается система быстро - около 30 сек. Выключается дольше - около 45. Может Касперский так долго думает? Но в целом - все отлично. Еще раз огромное спасибо! ComboFix без проблем деинсталировал, OTCleanIt тоже отработал без вопросов. А вот скачать деинсталятор AVG к сожалению не удалось. Не только по Вашей ссылке, но и нагуглить тоже не смог. Может можно сделать еще что-то? В ручную удалить, например? Подскажите пожалуйста, почему нужно удалить Ad-Aware? Вот http://virusnet.info/forum/showthread.php?t=1841' rel="external nofollow">

здесь

эта программа позиционируется как одна из обязательных к установке. Может я что-то не так понял? И еще одна просьба: если это не очень трудно, поясните пожалуйста в двух словах - что же было в системе? С чем боролись? Спрашиваю не из праздного любопытства - очень уж не хочется наступить на эти же грабли еще раз. Одного Касперского явно не достаточно, чем же еще защищать себя? Надеюсь, скоро не придется задавать так много вопросов т.к. я активно изучаю предоставленную Вами литературу и уже подал заявку на обучение! :D Очень хочу научиться избавляться от всей этой дряни самостоятельно и помогать другим людям. Еще раз спасибо за помощь!

Ссылка на комментарий
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...