Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Захламленный ноут (http://forum.oszone.net/showthread.php?t=191988)

sonya 22-11-2010 21:46 1548970
Захламленный ноут
 
Вложений: 2
  • info.txt (21.70 KB, скачиваний: 10)
  • log.txt (26.90 KB, скачиваний: 13)
Ноутбук с очень старинной косячной виндой. Параллельно стоит дебиан. Очень много всяких вирусов было. Ни один антивирус не спасает. Не подключается интернет (кабель).

zirreX 23-11-2010 13:05 1549421
Добрый день!

C:\1.bat - ваш файл?

Отключите восстановление системы!
Пуск > Пpогpаммы > Стандаpтные > Пpоводник Windows. (Start > Programs > Accessories > Windows Explorer)
Кликнуть пpавой кнопкой мыши на "Мой компьютеp" (My Computer). Выбpать "Свойства" (Properties).
Вкладка "Восстановление системы" (System Restore). Поставить птичку на "Запpетить восстановление системных файлов на всех дисках" (Turn off System Restore on all drives)
Hажать "Пpименить" (Apply). Появится сообщение, пpедупpеждающее об удалении всех точек восстановления. Подтвеpдить, нажав "ОК".

• Выполните скрипт AVZ
Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл)

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\Марина\Local Settings\Temp\7726073.exe','');
QuarantineFile('ICF.sys','');
QuarantineFile('C:\System Volume Information\_restore{8EF6D43E-6FF3-4433-BD6D-E682E6891FC4}\RP229\A0155219.exe:exe.exe:$DATA','');
DeleteFile('C:\System Volume Information\_restore{8EF6D43E-6FF3-4433-BD6D-E682E6891FC4}\RP229\A0155219.exe:exe.exe:$DATA');
DeleteFile('ICF.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('ICF');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин. Отправьте c:\quarantine.zip на адрес quarantine@virusnet.info, в названии темы укажите – Ссылку на вашу тему.Результаты ответа сообщите здесь, в теме.

Повторите логи AVZ (обязательно обновите базы) и RSIT!

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.


Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3.
Установите Service Pack 3 (может потребоваться активация!).

Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол!

sonya 26-11-2010 19:22 1552246
Вложений: 2
  • info.txt (21.70 KB, скачиваний: 9)
  • log.txt (26.40 KB, скачиваний: 10)
Вот пока что. mbam выложу в скором времени. Спустя 8 минут 19 инфицированных) Думаю, будут и еще.

Цитата:
Цитата Fedin
Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3.
Установите Service Pack 3 (может потребоваться активация!). »
Активация винды? Если да - то с этим могут возникнуть проблемы..


Цитата:
Цитата Fedin
Результаты ответа сообщите здесь, в теме.
Очень сомневаюсь, что результаты придут вообще. Еще ни разу не приходили.

zirreX 26-11-2010 20:26 1552274
Здравствуйте!

D:\флеха\test\xyz.pif
G:\test\xyz.pif
Это у вас avz?

Жду лог MBAM

sonya 26-11-2010 21:02 1552309
Это от cureit-scan вроде.

Цитата:
Цитата Fedin
Жду лог MBAM »
Сейчас сейчас еще чуть-чуть тут)

sonya 26-11-2010 21:25 1552332
Вложений: 1
Вооот)

zirreX 26-11-2010 21:37 1552342
Удалите всё кроме:

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.

Зараженные файлы:
C:\WINDOWS\system32\inetsrv\iissync.exe (Virus.Expiro) -> No action taken (ложное срабатывание)

Есть еще проблемы?

sonya 26-11-2010 21:56 1552355
Fedin, а Вы не можете сказать, почему у меня инет не работает? Пишет, что локальное соединение установлено, айпи и прочие данные получены, но локальные ресурсы интернета недоступны. Глобальное соединение не устанавливается вовсе. Интернет провайдер утверждает, что "Не удалось создать VPN-подключение. VPN-сервер недоступен, или параметры безопасности для данного подключения настроены неверно." Все проверила, вроде идентично. Создала подключение заново. Не помогает. Это началось после последней чистки ноутбука от autorun.inf.

zirreX 26-11-2010 22:23 1552381
Проверьте файл на www.virustotal.com
Код:
C:\WINDOWS\Installer\2c0a1a.msi
Дайте ссылку с результатом проверки файла!

• Выполните скрипт AVZ
Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл)

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\Марина\Local Settings\Temp\7726073.exe','');
DeleteFile('C:\Documents and Settings\Марина\Local Settings\Temp\7726073.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\Documents and Settings\Марина\Local Settings\Temp\7726073.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы

Повторите лог RSIT

sonya 26-11-2010 23:12 1552406
Вложений: 2
  • info.txt (21.70 KB, скачиваний: 9)
  • log.txt (26.60 KB, скачиваний: 10)
Цитата:
Цитата Fedin
C:\WINDOWS\Installer\2c0a1a.msi »
Как обычно не могу найти этого гада.

zirreX 26-11-2010 23:32 1552421
После скрипта проблема с интернетом осталась?

Еще хотелось бы увидеть лог hijackthis.Создание лога не займет больше минуты.
Запустите HijackThis. В появившимся бланке, с пользовательском соглашением, нажмите на кнопку "I Accept". Нажмите на кнопку "Do a system scan and save a logfile". Закройте HijackThis. Прикрепите полученный лог.

sonya 27-11-2010 00:05 1552440
Вложений: 2
Не работает..

zirreX 27-11-2010 00:30 1552449
Пофиксите в hijackthis
Поставьте галочки напротив указанных строк и нажмите Fix Checked.
Код:
R3 - URLSearchHook: (no name) -  - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
Цитата:
Цитата sonya
Не работает.. »
"Основной шлюз" не прописан. Впишите адрес.

sonya 27-11-2010 00:46 1552455
Цитата:
Цитата Fedin
Впишите адрес. »
Как? Куда? Какой?

zirreX 27-11-2010 13:39 1552685
Больше признаков заражения не вижу.

По вашему скрину ipconfig видно,что не прописан адрес Основного шлюза, проблема отчасти в этом.
По настройке VPN-соединения, обратитесь в раздел Сетевые технологии


Время: 17:19.

Время: 17:19.
© OSzone.net 2001-