Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Помогите пожалуйста с вирусом (http://forum.oszone.net/showthread.php?t=181357)

Ka4aHoK 24-07-2010 18:35 1459960
Помогите пожалуйста с вирусом
 
Изначально этот вирус был на компе у подруги,но теперь попал через флешку и ко мне.В автозагрузке висит как ЎЎЎЎЎЎ.EXE с адресом C:\WINDOWS\system32\XP-4A2~1.EXE
сам файл я не нашёл,удаляя его из автозагрузки после перезагрузки он снова там появляется,когда нажимаешь Ctrl+Alt+Del чтобы открыть диспетчер задач выскакивает ошибка "Диспетчер задач отключен администратором".AVZ не запускается,уже не знаю что делать,подскажите пожалуйста что сделать,заранее спасибо

help? 24-07-2010 18:51 1459968
Ka4aHoK, это вирус.Просто удалением обычным с ним не справится.
Подготовьте логи
Мы их посмотрим и напиши скрипты лечения.

Ka4aHoK 24-07-2010 19:14 1459979
Вложений: 1
Вот лог от HijackThis

help? 24-07-2010 19:26 1459982
Ka4aHoK, понятно.Попробуйте эту авз:
http://www19.zippyshare.com/v/30819393/file.html

Ka4aHoK 24-07-2010 19:28 1459984
Другие не могу сдлеать т.к. AVZ не запускается,видимо этот вирус блокирует его

help? 24-07-2010 19:34 1459986
Ka4aHoK, http://www19.zippyshare.com/v/30819393/file.html
эта авз тоже не запускается?
HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis
Код:
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."

Ka4aHoK 24-07-2010 19:48 1459995
http://www19.zippyshare.com/v/30819393/file.html этот авз запустился и вот логи

help? 24-07-2010 20:14 1460014
Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Выполните скрипт в авз:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 SetServiceStart('abp470n5', 4);
 DeleteFile('C:\WINDOWS\system32\drivers\kmspln.sys');
 DeleteService('abp470n5');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('abp470n5');
BC_DeleteFile('C:\WINDOWS\system32\drivers\kmspln.sys');
BC_Activate;
ExecuteRepair(6);
RebootWindows(true);
end.
полечитесь от файлового активного вируса, повторите логи авз для поверки

Ka4aHoK 27-07-2010 07:21 1461245
Вложений: 1
Скрипт выполнил,потом лечился с помощью Kaspersky Rescue Disk 10 и DrWeb - CureIT!,Касперский нашёл пару Trojan.Dolwnloader.Win32.Small.Agoy и почти все exe'шники были заражены Win32.Sality.aa ,DrWeb так же нашёл пару троянов и зараженные экзешники.Проблема с диспетчером задач не решилась.Вот логи.

Analyzer 27-07-2010 10:12 1461330
Отключить антивирус/фаервол, интернет;

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 SetServiceStart('amsint32', 4);
 QuarantineFile('C:\WINDOWS\system32\drivers\kmspln.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\kmspln.sys');
 DeleteFile('C:\autorun.inf');
 DeleteFile('C:\rdnk.exe');
 DeleteFile('D:\autorun.inf');
 DeleteFile('D:\vtrnr.pif');
 DeleteService('abp470n5');
 DeleteService('amsint32');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('amsint32');
 BC_DeleteSvc('abp470n5');
BC_Activate;
 ExecuteRepair(11);
 ExecuteRepair(17);
RebootWindows(true);
end.
после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

повторите логи.

Ka4aHoK 28-07-2010 23:12 1462511
Скрипты выполнил,первый скрипт выполнялся с ошибкой,а по ссылке "http://www.oszone.net/go.php?url=http://support.kaspersky.ru/virlab/helpdesk.html" перейти не могу,данная страница не загружается

Drongo 28-07-2010 23:36 1462532
Ka4aHoK, Выполните такой скрипт
Код:
begin
 ExecuteRepair(20);
RebootWindows(true);
end.

Ka4aHoK 29-07-2010 02:57 1462591
А что дальше?

Drongo 29-07-2010 14:20 1462857
Ka4aHoK, А доступ появился?

Ka4aHoK 30-07-2010 18:33 1463712
Drongo,так же перейти не могу

Drongo 30-07-2010 20:46 1463808
Ka4aHoK, Попробуйте так - Пуск – Выполнить - вввести route –f, нажать ОК и перезагрузиться

Ka4aHoK 31-07-2010 14:14 1464067
Drongo,всё равно не переходит

thyrex 31-07-2010 18:12 1464176
На чистой от вирусов машине скачивайте образ DrWеb Live CD, записывайте образ на болванку
На проблемной машине включите в BIOS загрузку с CD, загружайтесь с созданного диска и лечитесь дальше от файлового вируса

После этого сделайте новые логи

Ka4aHoK 11-09-2010 10:56 1492941
Всем большое спасибо,проблему решил полным форматированием)

Drongo 11-09-2010 21:04 1493315
Тема закрыта. Для открытия темы топикстартер может обратиться в РМ, для всех остальных - создавайте новую тему с учетом правил


Время: 16:55.

Время: 16:55.
© OSzone.net 2001-