Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] вирусы (http://forum.oszone.net/showthread.php?t=205714)

Gwenwiwar 27-04-2011 05:16 1666378
вирусы
 
Вложений: 2
  • info.txt (27.00 KB, скачиваний: 14)
  • log.txt (47.60 KB, скачиваний: 16)
Добрый день. Сразу скажу, что в этом деле я профан. Посоветовали написать сюда. Мой антивирус ничего не находит, при помощи утилиты от Веба нашла несколько вирусов, но делу это не помогло. Комп очень долго грузится вначале, иногда может зависнуть прям на выходе на рабочий стол. При использовании нескольких прог начинает тупить. При включении компа на несколько секунд появляется синий экран с надписью "msln program not found skipping autocheck" При выходе на стол появляется "ошибка запуска - не установлено ни одной игры". В целом комп работает нормально, не считая периодически появляющихся ошибок и зависаний. Сделала все логи, но лог на скрипт №3 не хочет делат, хоть убей. В самом конце зависает и закрывается через диспечер задач.

Farger 27-04-2011 10:40 1666489
Здравствуйте,

Я сейчас проверю логи.

У вас инсталляционный диск с операционной системой есть?

1. C:\SharaDC\SharaDC.exe C:\WINDOWS\system32\ANPD.sys проверьте на virustotal и дайте ссылку на результат.

2. Скачайте ATF Cleaner на рабочий стол.
Запустите ATF Cleaner, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли;
- если вы используете Opera, нажмите Opera - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли.

3. Пофиксить в HJT

Код:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

4. Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение, а также эмулятор дисков. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."

Gwenwiwar 27-04-2011 16:40 1666699
Вложений: 1
Farger, Нет, установочного диска нет
http://www.virustotal.com/file-scan/...d55-1303898232
http://www.virustotal.com/file-scan/...bb0-1303898875
Вообще, Шара это программа, предоставляемая местным провайдером для своих пользователей.
ATF Cleaner также безбожно виснет, ничего, если я сделала служебные -> очистка диска?
С HijackThis я все сделала

iskander-k 27-04-2011 19:48 1666809
Цитата:
Цитата Gwenwiwar
ничего, если я сделала служебные -> очистка диска? »
Ничего, тоже сойдет.

Farger 27-04-2011 19:52 1666813
Цитата:
Цитата Gwenwiwar
ничего, если я сделала служебные -> очистка диска? »
Нет, ничего.

Такое назначенное задание как C:\WINDOWS\tasks\At1.job вам известно?

Относительно синего экрана: прочтите это

перевод на русский

iskander-k 27-04-2011 20:04 1666825
Цитата:
Цитата Gwenwiwar
№3 не хочет делат, хоть убей. В самом конце зависает и закрывается через диспечер задач. »
Подождать пробовали ?

Gwenwiwar 28-04-2011 04:47 1666975
Farger,
Цитата:
Цитата Farger
Такое назначенное задание как C:\WINDOWS\tasks\At1.job вам известно? »
Да вроде нет, но компом не только я пользуюсь

Про синий экран спасибо, сделала как написано, и он больше не появляется, и это хорошо, наверное))

iskander-k, Пробовала. С моим компом чего-чего, а ждать точно научишься. Я даже несколько раз пыталась. Бесполезно.

Farger 28-04-2011 17:01 1667227
Здравствуйте,

c:\windows\system32\ANPD64.SYS проверьте на virustotal и дайте ссылку на результат

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::

File::
C:\Ntf112.tmp
C:\Ntf113.tmp
C:\Ntf111.tmp
C:\Ntf10F.tmp
C:\Ntf110.tmp
C:\Ntf10D.tmp
C:\Ntf10E.tmp
C:\Ntf10C.tmp
C:\Ntf10B.tmp
C:\Ntf10A.tmp
C:\Ntf109.tmp
C:\Ntf108.tmp
C:\Ntf107.tmp
C:\Ntf106.tmp
C:\Ntf105.tmp
C:\Ntf104.tmp
C:\Ntf103.tmp
C:\Ntf102.tmp
C:\Ntf101.tmp
C:\NtfFF.tmp
C:\Ntf100.tmp
C:\NtfFE.tmp
C:\NtfFD.tmp
C:\NtfFC.tmp
C:\NtfFB.tmp
C:\NtfFA.tmp
C:\NtfF9.tmp
C:\NtfF8.tmp
C:\NtfF7.tmp
C:\NtfF5.tmp
C:\NtfF6.tmp
C:\NtfF3.tmp
C:\NtfF4.tmp
C:\NtfF2.tmp
C:\NtfF1.tmp
C:\NtfEF.tmp
C:\NtfF0.tmp
C:\NtfED.tmp
C:\NtfEE.tmp
C:\NtfEB.tmp
C:\NtfEC.tmp
C:\NtfE9.tmp
C:\NtfEA.tmp
C:\NtfE8.tmp
C:\NtfE7.tmp
C:\NtfE6.tmp
C:\NtfE5.tmp
C:\NtfE4.tmp
C:\NtfE3.tmp
C:\NtfE1.tmp
C:\NtfE2.tmp
C:\NtfE0.tmp
C:\NtfDF.tmp
C:\NtfDE.tmp
C:\NtfDD.tmp
C:\NtfDB.tmp
C:\NtfDC.tmp
C:\NtfD9.tmp
C:\NtfDA.tmp
C:\NtfD8.tmp
C:\NtfD7.tmp
C:\NtfD4.tmp
C:\NtfD6.tmp
C:\NtfD5.tmp
C:\NtfD1.tmp
C:\NtfD3.tmp
C:\NtfCF.tmp
C:\NtfD0.tmp
C:\NtfCD.tmp
C:\NtfCE.tmp
C:\NtfCC.tmp
C:\NtfCB.tmp
C:\NtfCA.tmp
C:\NtfC9.tmp
C:\NtfC8.tmp
C:\NtfC7.tmp
C:\NtfC6.tmp
C:\NtfC5.tmp
C:\NtfC4.tmp
C:\NtfC3.tmp
C:\NtfC1.tmp
C:\NtfC2.tmp
C:\NtfBF.tmp
C:\NtfC0.tmp
C:\NtfBD.tmp
C:\NtfBE.tmp
C:\NtfBB.tmp
C:\NtfBC.tmp
C:\NtfB9.tmp
C:\NtfBA.tmp
C:\NtfB8.tmp
C:\NtfB7.tmp
C:\NtfB6.tmp
C:\NtfB5.tmp
C:\NtfB3.tmp
C:\NtfB4.tmp
C:\NtfB2.tmp
C:\NtfB1.tmp
C:\NtfAF.tmp
C:\NtfB0.tmp
C:\NtfAE.tmp
C:\NtfAD.tmp
C:\NtfAC.tmp
C:\NtfAB.tmp
C:\NtfA9.tmp
C:\NtfAA.tmp
C:\NtfA8.tmp
C:\NtfA7.tmp
C:\NtfA6.tmp
C:\NtfA5.tmp
C:\NtfA4.tmp
C:\NtfA3.tmp
C:\NtfA1.tmp
C:\NtfA2.tmp
C:\Ntf9F.tmp
C:\NtfA0.tmp
C:\WINDOWS\tasks\At1.job

Driver::

Folder::

Registry::
[-HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]

FileLook::

DirLook::
Reboot::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Gwenwiwar 29-04-2011 04:46 1667376
Вложений: 1
http://www.virustotal.com/file-scan/...875-1295549322

Farger 29-04-2011 12:23 1667474
Здравствуйте,

Что с проблемами?

Gwenwiwar 30-04-2011 12:21 1667953
Здравствуйте,
ну синего экрана больше нет, ошибка запуска все равно появляется при загрузке, в целом я бы сказала, что комп стал чуть побыстрее. Кстати говоря, смогла сделать 3ий скрипт.
Еще вспомнила, когда делала веба, он мне переместил файл к себе в папку. Вот этот.
http://www.virustotal.com/file-scan/...fae-1304037231

iskander-k 30-04-2011 18:43 1668144
Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 SetServiceStart('GoogleUpdateBeta', 4);
 QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\Google\Update\GoogleUpdateBeta.exe','');
 DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\Google\Update\GoogleUpdateBeta.exe');
DeleteService('GoogleUpdateBeta');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Farger 30-04-2011 19:04 1668154
Здравствуйте,

Цитата:
Цитата Gwenwiwar
ошибка запуска все равно появляется при загрузке »
Скорей всего, что проблема из-за NevoDRM.exe, который сидит у вас в автозагрузке. Подобную тему с решением нашел здесь на форуме. Посмотрите, пожалуйста
здесь

Gwenwiwar 02-05-2011 14:45 1668956
iskander-k, спасибо, сделала

Farger, прочитала, исправила, ошибка исчезла, огромное спасибо)

Farger 02-05-2011 15:08 1668969
Здравствуйте,

Прекрасно. Какая теперь ситуация?

Gwenwiwar 02-05-2011 15:37 1668981
Farger, У меня после веба осталось папка, куда он переносил по его мнению зараженные файлы, че мне с ней делать?

Farger 02-05-2011 16:22 1669009
Как папка называется?

Gwenwiwar 02-05-2011 16:24 1669010
так и называется "Карантин" по англ

Farger 02-05-2011 16:37 1669017
Можете удалить, если хотите. В карантине файлы безвредны, так как заскриптованы.

Кроме этого, что еще волнует? Если ничего, тогда можем перейти к следующему шагу.

Gwenwiwar 02-05-2011 16:48 1669024
это ж утилита от веба, он просто создал папку, куда перетащил файлы, так как не смог исцелить, разве они безвредны? Я бы удалила, но там системные файлы тоже есть

iskander-k 02-05-2011 19:32 1669123
В карантин антивирус ставит файлы или которые уже удалил или подозрительные для анализа( это может быть копия системных файлов скопированных в карантин для анализа ) Если бы они имели значение для системы то система давно бы уже вам сообщила бы об отсутствии этих файлов или просто бы не запускалась :) .

Так что если все работает нормально - можете спокойно удалять папку карантин.

Gwenwiwar 03-05-2011 02:35 1669296
iskander-k, аааа, понятно) Тогда удалю ее

Цитата:
Цитата Farger
Если ничего, тогда можем перейти к следующему шагу. »
Давайте)

Farger 03-05-2011 10:23 1669383
Здравствуйте,

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

Gwenwiwar 04-05-2011 03:10 1669904
Вложений: 1
Все сделала, прилагаю файл.

Снова по поводу папки от Веба. (она в этом логе тоже есть). Как оказалось, это не копии файлов, и не то, что он удалял. Веб действительно переместил файлы, в т.ч. и системные. Поэтому удалять, я так понимаю, все же не следует((

Farger 04-05-2011 14:08 1670096
Здравствуйте,

Удалите с помощью MBAM: Заражённые файлы: запустите еще раз полное сканирование системы -> в конце сканирования отметьте эти строки -> нажмите “Remove selected”.

Код:
c:\documents and settings\АСКА\application data\fieryads.dat (Adware.FieryAds) -> No action taken.
Другие файлы - на ваше усмотрение:

c:\ИГРЫ\новая папка\nanny mania\wrapperinstall.exe (Spyware.Banker) -> No action taken. --------------> кряк
c:\old dox2\АСКА\local settings\Temp\Rar$EX00.078\keygen.exe (Malware.Packer.Gen) -> No action taken. ------> кейген
c:\old dox2\АСКА\local settings\Temp\Rar$EX00.250\keygen.exe (Malware.Packer.Gen) -> No action taken.-------- кейген
c:\old dox2\АСКА\local settings\Temp\Rar$EX00.453\keygen.exe (Malware.Packer.Gen) -> No action taken.--------- кейген
c:\old dox2\АСКА\local settings\Temp\Rar$EX00.719\keygen.exe (Malware.Packer.Gen) -> No action taken.--------- кейген
c:\documents and settings\user\doctorweb\quarantine\A0203974.dll (Trojan.Agent) -> No action taken.----------> карантин от Dr.Web
c:\documents and settings\user\doctorweb\quarantine\A0204331.exe (Adware.FieryAds) -> No action taken.---------> карантин от Dr.Web
c:\documents and settings\user\doctorweb\quarantine\dmcompo.dll (Trojan.Agent) -> No action taken. ------------> карантин от Dr.Web
c:\documents and settings\user\doctorweb\quarantine\fieryadsuninstall.exe.vir (Adware.FieryAds) -> No action taken.--------> карантин от Dr.Web
c:\documents and settings\user\мои документы\downloads\google_planeta_zemlya_pro_5.0.1337_gps_podderzhka_3d.rar.exe (PUP.SmsPay) -> No action taken. ---------> если знаете что это такое, тогда можете оставить
c:\documents and settings\user\мои документы\мои рисунки\CAMRY\instruktsiyu__nhdt-w55.rar.exe (Trojan.Dropper) -> No action taken.-------------> если знаете что это такое, тогда можете оставить
c:\documents and settings\user\мои документы\мои рисунки\CAMRY\rukovodstvo-po-remontu-i-ekspluatacii-ssang-musso.rar.exe (Trojan.Dropper) -> No action taken.--------------> если знаете что это такое, тогда можете оставить

Примечание! Все перечисленные файлы могут содержать вирусный код

Gwenwiwar 06-05-2011 05:03 1671042
Все сделала ,спасибо)

Farger 06-05-2011 17:33 1671388
Здравствуйте,

Хорошо. Больше ничего не волнует?

Gwenwiwar 07-05-2011 03:27 1671679
Да вроде нет) С этой папкой мне помогут разобраться) Всем спасибо)

Farger 07-05-2011 11:21 1671773
Всегда пожалуйста :)


Время: 17:50.

Время: 17:50.
© OSzone.net 2001-