Подцепил вирус - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - Подцепил вирус (http://forum.oszone.net/showthread.php?t=203602)

Подцепил вирус

Подцепил вирус.Процесс назывался ".exe".С помощью AVZ я его удалил,но похоже он успел заразить кучу файлов,к тому-же комп немного подлагивает.Помогите,пожалуйста!Прикрепляю логи)

Добрый вечер! :)
Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

Предварительно вставьте в привод дистрибутив вашей копии Windows. Это нужно на тот случай если понадобится заменить заражённый системный файл.

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

Код:

Procedure SysFileRecoverFromDistrib (Path, Name : string);

begin

 if MessageDLG('Для замены повреждённого системного файла ' + Name + ', который находится в папке ' + Path + ', вставьте дистрибутив Windows в CD\DVD-привод и нажмите "Да". Если же у вас нет дистрибутива или Вы хотите выполнить замену самостоятельно, нажмите "Нет"', mtConfirmation, mbYes+mbNo, 0) = 6 then

  begin   

    ExecuteFile('sfc /scannow', '', 1, 0, true);

    AddToLog('Пользователь выполнил "sfc /scannow"');

    SaveLog('Recover_' + Name + '.log');

  end

 else

  begin

    AddToLog('Пользователь выбрал самостоятельный способ замены.');

    SaveLog('Recover_' + Name + '.log');

  end;

end;



Procedure CompleteFix(Path, Name : string);

begin

   RenameFile('%windir%\system32\' + Name, '%windir%\system32\' + Name + '.bak');

   CopyFile(Path + Name, '%windir%\system32\' + Name);

   DeleteFile('%windir%\system32\' + Name + '.bak');

end;



Procedure SysFileRecoverFromBackup(Path, Name : string);

begin

  if (FileExists('%windir%\system32\dllcache\' + Name) and FileExists('%windir%\ServicePackFiles\i386\dllcache\' + Name)) and ((CalkFileMD5('%windir%\system32\dllcache\' + Name) <> CalkFileMD5('%windir%\ServicePackFiles\i386\dllcache\' + Name))) then

   begin

     AddToLog('Замена из ServicePackFiles\i386\dllcache и dllcache не произведена - разные файлы в папках. Запрошен дистрибутив.');

     SaveLog('Recover_' + Name + '.log');

     SysFileRecoverFromDistrib(Path, Name);

   end

  else if FileExists('%windir%\system32\dllcache\' + Name) then

   begin

    if (CalkFileMD5('%windir%\system32\dllcache\' + Name) <> CalkFileMD5(Path + Name)) then

      begin

        CompleteFix('%windir%\system32\dllcache\', Name); 

        AddToLog('Замена ' + Name + ' успешно произведена из \system32\dllcache\');

        SaveLog('Recover_' + Name + '.log');

      end

    else if FileExists('%windir%\ServicePackFiles\i386\dllcache\' + Name) then

     begin

       if (CalkFileMD5('%windir%\ServicePackFiles\i386\dllcache\' + Name) <> CalkFileMD5(Path + Name)) then

        begin

          CompleteFix('%windir%\ServicePackFiles\i386\dllcache\', Name);

          AddToLog('Замена ' + Name + ' успешно произведена из \ServicePackFiles\i386\');

          SaveLog('Recover_' + Name + '.log');

        end

     end

   end;

 if (not FileExists('%windir%\system32\dllcache\' + Name)) and (not FileExists('%windir%\ServicePackFiles\i386\dllcache\' + Name)) then 

  begin

    AddToLog('Замена из ServicePackFiles\i386\dllcache и dllcache не произведена - нет файлов. Запрошен дистрибутив.');

    SaveLog('Recover_' + Name + '.log');

    SysFileRecoverFromDistrib(Path, Name);

  end;

end;



var SourcePath : String;

begin

 SysFileRecoverFromBackup('%windir%\system32\', 'sfcfiles.dll'); // Указываем имя файла.

end.



begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 QuarantineFile('%windir%\system32\drivers\sfc.sys','');

 QuarantineFile('frostUpdater.dll','');

 QuarantineFile('C:\WINDOWS\TEMP\rldF.tmp','');

 QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\reptile.exe','');

 QuarantineFile('C:\WINDOWS\system32\wmitxjr.exe','');

 QuarantineFile('C:\WINDOWS\system32\wmiptsx.exe','');

 QuarantineFile('C:\WINDOWS\TEMP\esp9063.tmp','');

 QuarantineFile('c:\windows\system32\79329d4a.exe','');

 QuarantineFile('c:\windows\system32\791ed4bf.exe','');

 QuarantineFile('c:\windows\system32\14181675.exe','');

 QuarantineFile('\\?\globalroot\systemroot\system32\9tnbkxt.exe','');

 QuarantineFile('C:\Program Files\Internet Explorer\xpsp2res.dll','');

 QuarantineFile('C:\WINDOWS\SystemRoot\System32\Drivers\sptd.sys','');

 QuarantineFile('UrlLogger.sys','');

 QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\v1s1UO0j.sys','');

 DeleteFile('%windir%\\system32\drivers\sfc.sys');

 DeleteFile('C:\WINDOWS\TEMP\rldF.tmp');

 DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\v1s1UO0j.sys');

 DeleteFile('C:\Program Files\Internet Explorer\xpsp2res.dll');

 DeleteFile('\\?\globalroot\systemroot\system32\9tnbkxt.exe');

 DeleteFile('c:\windows\system32\14181675.exe');

 DeleteFile('c:\windows\system32\791ed4bf.exe');

 DeleteFile('c:\windows\system32\79329d4a.exe');

 DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\reptile.exe');

 DeleteFile('C:\WINDOWS\system32\wmitxjr.exe');

 DeleteFile('C:\WINDOWS\system32\wmiptsx.exe');

 DeleteFile('C:\WINDOWS\TEMP\esp9063.tmp'); 

 RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');

 RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');

SysFileRecoverFromBackup('%windir%\system32\', 'sfcfiles.dll');    

BC_ImportAll;

ExecuteSysClean;

 BC_DeleteSvc('sfc');

BC_Activate;

RebootWindows(true);

end.

После выполнения скрипта компьютер перезагрузится!

• После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip из папки AVZ через эту форму.

После выполнения скрипта в папке AVZ будет создан файл Recover_sfcfiles.log. Прикрепите его пожалуйста к вашему следующему посту!

• Выполните скрипт AVZ

Код:

var ListRegSearch : TStringList;

  i : Integer;

  FileName, RegKeyName : string;

begin

  ClearLog;

  FileName := 'c:\avz00.log';

  RegSearch('HKLM', '', 'esp9063.tmp');

  SaveLog(FileName);

  ClearLog;

  ListRegSearch := TStringList.Create;

  ListRegSearch.LoadFromFile(FileName);

  AddToLog('Найдено записей: ' + IntToStr(ListRegSearch.Count));

  for i := 0 to ListRegSearch.Count - 1 do

   begin

    RegKeyName := ListRegSearch.Strings[i];

    if Pos('\esp', RegKeyName) > 0 then

      begin

        Delete(RegKeyName, 1, Pos('\\', RegKeyName) + 1);

        Delete(RegKeyName, Pos(' Name=', RegKeyName), Length(RegKeyName));

        RegKeyDel('HKLM', RegKeyName);

        AddToLog('Удален ключ реестра HKLM\' + RegKeyName);

      end;

   end;

 ListRegSearch.Free;

 SaveLog('c:\avz01.log');

end.

Затем выполните в AVZ такой скрипт.

Сделайте новые логи AVZ и RSIT. Обязательно обновите базы в AVZ (Файл/Обновление баз)

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Не понял, кто из них ваш провайдер, Adtechnology Sia (Latvia) или OJSC Uralsvyazinform?

Код:

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3.
Установите Service Pack 3 (потребуется активация).

Обновите Internet Explorer до восьмой версии даже если им не пользуетесь.

Выполнил всё что вы сказали.Кидаю новые логи.

Провайдер мой OJSC Uralsvyazinform
Эксплорер и SP обновлю)

Не крепится((

При установке SP3 при извлечении файла vssvc.exe файл повреждён(Прикладываю логи RSIT

В MBAM удалить все объекты, кроме:

Код:

c:\documents and settings\User\мои документы\файлы mail.ru агента\mikelya-kun@mail.ru\pekelnii@mail.ru\adobe.photoshop.cs5.extended.v12.0.keymaker-embrace.exe (Malware.Packer.Gen) -> No action taken.

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

Код:

begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

SearchRootkit(true, true);

SetAVZGuardStatus(true);

 ClearQuarantine;

 QuarantineFile('frostUpdater.dll','');

 QuarantineFile('UrlLogger.sys','');     

 QuarantineFile('C:\WINDOWS\system32\sfcfiles.dll','');                                       

 QuarantineFile('C:\WINDOWS\system32\wmitxjr.exe','');

 QuarantineFile('C:\WINDOWS\system32\wmiptsx.exe','');

 QuarantineFile('C:\WINDOWS\TEMP\rldF.tmp','');

 QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\reptile.exe','');

 QuarantineFile('c:\windows\system32\79329d4a.exe','');

 QuarantineFile('c:\windows\system32\791ed4bf.exe','');

 QuarantineFile('c:\windows\system32\14181675.exe','');

 QuarantineFile('\\?\globalroot\systemroot\system32\9tnbkxt.exe','');

 QuarantineFile('C:\Program Files\Internet Explorer\xpsp2res.dll','');

 QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\v1s1UO0j.sys','');

 DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\v1s1UO0j.sys');

 DeleteFile('C:\WINDOWS\system32\wmitxjr.exe');

 DeleteFile('C:\WINDOWS\system32\wmiptsx.exe');

 DeleteFile('C:\WINDOWS\TEMP\rldF.tmp');

 DeleteFile('C:\Program Files\Internet Explorer\xpsp2res.dll');

 DeleteFile('\\?\globalroot\systemroot\system32\9tnbkxt.exe');

 DeleteFile('c:\windows\system32\14181675.exe');

 DeleteFile('c:\windows\system32\791ed4bf.exe');

 DeleteFile('c:\windows\system32\79329d4a.exe');

 DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');

 RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');

BC_ImportAll;

ExecuteSysClean;

 BC_DeleteSvc('sfc');

BC_Activate;

RebootWindows(true);

end.

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip из папки AVZ через эту форму.

• Пофиксите в HiJackThis
Отметьте галочками указанные строки и нажмите Fix Checked.

Код:

O17 - HKLM\System\CCS\Services\Tcpip\..\{0D0ADF6A-4206-4952-BBB4-69B923C9A32B}: NameServer = 188.92.73.123,188.92.73.124

O17 - HKLM\System\CS10\Services\Tcpip\..\{0D0ADF6A-4206-4952-BBB4-69B923C9A32B}: NameServer = 188.92.73.123,188.92.73.124

O17 - HKLM\System\CS11\Services\Tcpip\..\{0D0ADF6A-4206-4952-BBB4-69B923C9A32B}: NameServer = 188.92.73.123,188.92.73.124

O17 - HKLM\System\CS12\Services\Tcpip\..\{0D0ADF6A-4206-4952-BBB4-69B923C9A32B}: NameServer = 188.92.73.123,188.92.73.124

O17 - HKLM\System\CS13\Services\Tcpip\..\{0D0ADF6A-4206-4952-BBB4-69B923C9A32B}: NameServer = 188.92.73.123,188.92.73.124

O17 - HKLM\System\CS14\Services\Tcpip\..\{0D0ADF6A-4206-4952-BBB4-69B923C9A32B}: NameServer = 188.92.73.123,188.92.73.124

O17 - HKLM\System\CS15\Services\Tcpip\..\{0D0ADF6A-4206-4952-BBB4-69B923C9A32B}: NameServer = 188.92.73.123,188.92.73.124

Сделайте новые логи AVZ & RSIT

Проверьте файл на www.virustotal.com

Код:

C:\WINDOWS\system32\sfcfiles.dll

Дайте ссылку на результат проверки.

Мой карантин весит более 8мб,поэтому не грузится
Прикрепляю логи
Ссылка на проверку на sfcfiles.dll.За что вообще отвечает этот файл?
http://www.virustotal.com/file-scan/...126-1301753212

Цитата:

Цитата Mikelya

Мой карантин весит более 8мб,поэтому не грузится »

Запакуйте его и попробуйте отправить снова.

Сорри забыл прикрепить логи xD

Цитата:

Цитата goredey

Запакуйте его и попробуйте отправить снова. »

запаковать архив?о_О

Mikelya, AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 QuarantineFile('c:\docume~1\user\locals~1\temp\eaglent.sys','');

 QuarantineFile('C:\WINDOWS\TEMP\rldF.tmp','');

QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\reptile.exe','');

 QuarantineFile('C:\WINDOWS\system32\wmitxjr.exe','');

 QuarantineFile('C:\WINDOWS\system32\wmiptsx.exe','');

DeleteFile('C:\WINDOWS\TEMP\rldF.tmp');

 DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\reptile.exe');

 DeleteFile('C:\WINDOWS\system32\wmitxjr.exe');

 DeleteFile('C:\WINDOWS\system32\wmiptsx.exe');

 DeleteFile('c:\docume~1\user\locals~1\temp\eaglent.sys');

 DeleteService('eaglent');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

После выполнения скрипта компьютер перезагрузится.

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте по этой форме

Сделайте повторные логи!