Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Помогите пожайлуста с вирусами (http://forum.oszone.net/showthread.php?t=202057)

Ka4aHoK 15-03-2011 13:50 1635381
Помогите пожайлуста с вирусами
 
Вложений: 1
Здравствуйте,недавно с флешки получил вирусы,заметил это появлением нескольких подозрительных процессов в диспетчере задач и в автозагрузке,помогите пожалуйста избавиться от них,вот логи

zirreX 15-03-2011 14:12 1635407
Здравствуйте!

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe
Подробнее в "ComboFix. Руководство по применению."

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Ka4aHoK 15-03-2011 16:23 1635509
Вложений: 1
Вот лог от Malwarebytes' Anti-Malware а от Combofix лог снять не получилось

zirreX 15-03-2011 16:52 1635530
Цитата:
Цитата Ka4aHoK
Combofix лог снять не получилось »
Почему?

Удалите все найденные объекты в MBAM, кроме указанныех ниже:

Код:
Заражённые параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Value: ForceClassicControlPanel -> No action taken.

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Заражённые файлы:
c:\WINDOWS\system32\vfp8rrus.dll (Malware.Packer.Gen) -> No action taken.
c:\WINDOWS\system32\greenfields.scr (Malware.Packer.Gen) -> No action taken.
c:\WINDOWS\system32\CPLDAPU\ProduKey.exe (PUP.PSWTool.ProductKey) -> No action taken.
c:\program files\half-open\tools\CertMgr.Exe (Malware.Packer.Gen) -> No action taken.
c:\program files\half-open\tools\makecert.exe (Malware.Packer.Gen) -> No action taken.
c:\program files\total commander\Utils\7z\Upack.exe (Malware.Packer.Gen) -> No action taken.
d:\Games\FS\LFS\lfst-y18plusrader_pl.exe (PUP.HackTool.HotKeysHook) -> No action taken.
d:\Всячина\дистрибутивы\Network\keygen.exe (Trojan.Dropper) -> No action taken.
Сделайте новый лог сканирования MBAM.

Internet Explorer обновить до восьмой версии, даже если его не используете!

Ka4aHoK 15-03-2011 22:49 1635797
Вложений: 1
Combofix зависал на процессе сканирования,пробовал раза 3,ждал долго но толку не было.Internet Explorer обновил,вот новый лог MBAM

zirreX 15-03-2011 23:52 1635824
Удалить в MBAM:
Код:
Заражённые файлы:
c:\WINDOWS\Temp\913.exe (Trojan.Dropper) -> No action taken.
c:\WINDOWS\Temp\294.exe (Trojan.Dropper) -> No action taken.
c:\WINDOWS\Temp\513.exe (Trojan.Dropper) -> No action taken.
c:\WINDOWS\Temp\072.exe (Trojan.Dropper) -> No action taken.
c:\system volume information\_restore{8021a128-01fa-4133-a9f1-bdf9746fd006}\RP16\A0020724.exe (Trojan.Dropper) -> No action taken.
c:\system volume information\_restore{8021a128-01fa-4133-a9f1-bdf9746fd006}\RP16\A0020725.exe (Trojan.Dropper) -> No action taken.
c:\system volume information\_restore{8021a128-01fa-4133-a9f1-bdf9746fd006}\RP16\A0020726.exe (Trojan.Dropper) -> No action taken.
c:\system volume information\_restore{8021a128-01fa-4133-a9f1-bdf9746fd006}\RP16\A0020727.exe (Trojan.Dropper) -> No action taken.
c:\system volume information\_restore{8021a128-01fa-4133-a9f1-bdf9746fd006}\RP16\A0020728.exe (Trojan.Dropper) -> No action taken.
c:\system volume information\_restore{8021a128-01fa-4133-a9f1-bdf9746fd006}\RP16\A0020729.exe (Trojan.Dropper) -> No action taken.
c:\system volume information\_restore{8021a128-01fa-4133-a9f1-bdf9746fd006}\RP16\A0020730.exe (Trojan.Dropper) -> No action taken.
c:\system volume information\_restore{8021a128-01fa-4133-a9f1-bdf9746fd006}\RP16\A0020731.exe (Trojan.Dropper) -> No action taken.
Цитата:
Цитата Ka4aHoK
Combofix зависал на процессе сканирования,пробовал раза 3,ждал долго но толку не было »
При использовании ComboFix не забывайте пожалуйста про инструкции:
Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

Если не получается подготовить лог ComboFix в нормальном режиме, то попробуйте подготовить лог загрузившись в безопасном режиме [Safe Mode].

Ka4aHoK 16-03-2011 17:32 1636344
Всё удалил,а Combofix в безопасном режиме тоже не работает

zirreX 16-03-2011 20:46 1636515
Подготовьте пожалуйста лог OTL by Oldtimer

Ka4aHoK 23-03-2011 11:54 1641790
Вложений: 2
  • OTL.rar (12.30 KB, скачиваний: 11)
  • Extras.Txt (40.50 KB, скачиваний: 10)
Вот логи от OTL by Oldtimer

zirreX 24-03-2011 11:46 1642691
Проверьте файлы на www.virustotal.com и дайте ссылку на результат проверки.
Код:
C:\windows\sbsystem.dat
C:\windows\System32\ezsidmv.dat

Запустите OTL. Скопируйте ниже написанный скрипт в окно Custom Scans/Fixes и нажмите кнопку Run Fix
Код:
:OTL
IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://eroshal.ucoz.ru
IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://eroshal.ucoz.ru
IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://eroshal.ucoz.ru
IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://eroshal.ucoz.ru
IE - HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://eroshal.ucoz.ru
IE - HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://eroshal.ucoz.ru
IE - HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://eroshal.ucoz.ru
IE - HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://eroshal.ucoz.ru
IE - HKU\S-1-5-21-682003330-1284227242-1417001333-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = http://eroshal.ucoz.ru [binary data]
IE - HKU\S-1-5-21-682003330-1284227242-1417001333-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://eroshal.ucoz.ru
O3 - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()
O3 - HKU\S-1-5-21-682003330-1284227242-1417001333-1004\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()
O32 - AutoRun File - [2010.11.16 20:29:42 | 000,000,000 | -H-D | M] - C:\AUTORUN.INF -- [ FAT32 ]
O32 - AutoRun File - [2010.08.15 19:46:00 | 000,000,000 | -H-D | M] - D:\AUTORUN.INF -- [ NTFS ]
O33 - MountPoints2\{b7547c92-1c25-11e0-84a7-001fc6c5bab1}\Shell\AutoRun\command - "" = J:\PMBP_Win.exe
MsConfig - StartUpFolder: C:^Documents and Settings^User^Главное меню^Программы^Автозагрузка^6k81whi.exe -  - File not found
MsConfig - StartUpFolder: C:^Documents and Settings^User^Главное меню^Программы^Автозагрузка^ezav081cno.exe -  - File not found
MsConfig - StartUpFolder: C:^Documents and Settings^User^Главное меню^Программы^Автозагрузка^upll2rsn0.exe -  - File not found
MsConfig - StartUpFolder: C:^Documents and Settings^User^Главное меню^Программы^Автозагрузка^xnndj60lghm.exe -  - File not found

:Files
autorun.inf /alldrives
recycler /alldrives
ipconfig /flushdns /c
 
:Commands
[purity]
[emptytemp]
[resethosts]
[CREATERESTOREPOINT]
[emptyflash]
[Reboot]
Внимание! Компьютер перезагрузится!

Прикрепите полученный лог к вашему сообщению.

Прикрепите пожалуйста новый лог сканирования MBAM.

Ka4aHoK 24-03-2011 14:16 1642820
Вложений: 2
http://www.virustotal.com/file-scan/...552-1300961218

http://www.virustotal.com/file-scan/...03b-1300962154

Скрипт выполнил,вот логи

zirreX 24-03-2011 14:53 1642858
Ka4aHoK, проблема решена?

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"


Запустите OTL, нажмите кнопку CleanUp.
Перезагрузитесь.

Ka4aHoK 24-03-2011 15:08 1642870
zirreX, похоже что да,спасибо огромное за помощь!=)

zirreX 24-03-2011 15:33 1642893
Цитата:
Цитата Ka4aHoK
zirreX, похоже что да,спасибо огромное за помощь! »
Не за что, обращайтесь, если что. :)

Создайте новую контрольную точку восстановления и удалите зараженную:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно - Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Очистите временные файлы:
Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли.

Для предотвращения заражения рекомендую вам:
- не работать за компьютером с правами администратора
- использовать браузер Firefox с дополнением NoScript.
(Если вы используете браузер Internet Explorer, отключите в нем ActiveX (Сервис -> свойства обозревателя -> безопасность -> другой -> запуск элементов ActiveX и модулей подключения)
- регулярно устанавливать обновления Windows
- обновлять антивирусные базы

Ka4aHoK 24-03-2011 15:48 1642904
zirreX, спасибо за совет =)


Время: 17:42.

Время: 17:42.
© OSzone.net 2001-