[решено] NOD32 Усиленный режим (Вирус) - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - [решено] NOD32 Усиленный режим (Вирус) (http://forum.oszone.net/showthread.php?t=209251)

NOD32 Усиленный режим (Вирус)

Здравствуйте!

Ситуация та же, что у пользователя bilitok http://forum.oszone.net/post-1688806.html Только в моём случае, СureIt не помог...

На самом деле, как мне кажется, вирус не "вшивается" в антивирус, а просто принимает его форму (значок в трее и приоритет), Настоящий же Антивирусник в системе установлен, но запуститься не может, в место него это делает так называемый "вирус", его даже видно в Диспетчере задач (По крайней мере я подозреваю, что это из-за него, потому что эти процессы мне, мягко говоря не знакомы))... (Form4 в задачах l1rezerv.exe в процессах) всё это есть на скринах. Можно конечно их по вырубать, но при запуске NOD'а они включаются снова.

Просканил комп утилиткой СureIt, обезвредил пару троянов, но походу- это не то... Ничего не наладилось.
В итоге сделал всё по инструкции, подготовил логи...

Искренне, прошу помочь, если есть вариант, иначе придётся сносить Ось : (

OkeWismut,привет
Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

 TerminateProcessByName('c:\windows\update.3\svchost.exe');

 TerminateProcessByName('c:\windows\update.1\svchost.exe');

 TerminateProcessByName('c:\windows\sysdriver32.exe');

 StopService('srvsysdriver32');

 QuarantineFile('c:\windows\update.3\svchost.exe','');

 QuarantineFile('c:\windows\update.1\svchost.exe','');

 QuarantineFile('c:\windows\sysdriver32.exe','');

 QuarantineFile('C:\Windows\update.tray-2-0\svchost.exe','');

 QuarantineFile('C:\Windows\update.2\svchost.exe','');

 QuarantineFile('C:\Windows\systemup.exe','');

 QuarantineFile('C:\Windows\sysdriver32_.exe','');

 QuarantineFile('C:\Windows\services32.exe','');

 QuarantineFile('C:\Windows\l1rezerv.exe','');

 QuarantineFile('c:\windows\sysdriver32.exe','');

 DeleteFile('C:\Windows\sysdriver32.exe');

 DeleteFile('C:\Windows\l1rezerv.exe');

 DeleteFile('C:\Windows\services32.exe');

 DeleteFile('C:\Windows\sysdriver32_.exe');

 DeleteFile('C:\Windows\systemup.exe');

 DeleteFile('c:\windows\update.3\svchost.exe');

 DeleteFile('c:\windows\update.1\svchost.exe');

 DeleteFile('c:\windows\sysdriver32.exe');

 DeleteFile('C:\Windows\update.tray-2-0\svchost.exe');

 DeleteFile('C:\Windows\update.2\svchost.exe');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','l1rezerv.exe');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wxpdrv');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysdriver32.exe');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysdriver32_.exe');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','systemup');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','w_distrib.exe');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico0');

 DeleteService('srvsysdriver32');

DeleteFileMask('C:\Windows\update.tray-2-0','*.*', true);

DeleteDirectory('C:\Windows\update.tray-2-0');

DeleteFileMask('c:\windows\update.3','*.*', true);

DeleteDirectory('c:\windows\update.3');

DeleteFileMask('c:\windows\update.1','*.*', true);

DeleteDirectory('c:\windows\update.1');

DeleteFileMask('c:\windows\update.2','*.*', true);

DeleteDirectory('c:\windows\update.2');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

 ExecuteRepair(1);

RebootWindows(true);

end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему

Пофиксить в HijackThis следующие строчки:

Код:

        R3 - URLSearchHook: (no name) - - (no file)

O4 - HKLM\..\Run: [wxpdrv] C:\Windows\services32.exe

O4 - HKLM\..\Run: [tray_ico0] C:\Windows\update.tray-2-0\svchost.exe

O4 - HKLM\..\Run: [sysdriver32.exe] "C:\Windows\sysdriver32.exe" rezerv

O4 - HKLM\..\Run: [sysdriver32_.exe] "C:\Windows\sysdriver32_.exe" rezerv

O4 - HKLM\..\Run: [w_distrib.exe] "C:\Windows\update.3\svchost.exe" stand

O4 - HKLM\..\Run: [systemup] "C:\Windows\systemup.exe" stand

O4 - HKLM\..\Run: [l1rezerv.exe] "C:\Windows\l1rezerv.exe"

O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

Сделайте повторные логи AVZ + RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

Сделал всё, как сказано.... НО:

В прикреплённом файле "HiJackThis Log.rar" отображены логи уже после фикса следующих строк:

"R3 - URLSearchHook: (no name) - - (no file)"
и
"O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)"

а других, которые нужно было пофиксить, там просто не было (Скан не определяет).

И ещё: Теперь после запуска Антивируса (А ныне "Вируса") в Диспетчере задач добавилась ещё одна задача "Form2", а "l1rezerv.exe" в процессах больше не отображается...

А в целом, всё так же... Подготовил логи, жду ответа : )

Доброго дня. Ситуация намного легче :) Зачистим остатки

Удалить в MBAM:

Код:

Заражённые процессы в памяти:

c:\Windows\update.tray-2-0-lnk\svchost.exe (Trojan.Dropper) -> 2556 -> No action taken.



Заражённые ключи в реестре:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wxpdrivers (Trojan.Agent) -> No action taken.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\wxpdrivers (Trojan.Agent) -> No action taken.



Заражённые файлы:

c:\Windows\update.tray-2-0-lnk\svchost.exe (Trojan.Dropper) -> No action taken.

c:\Users\Artem\AppData\Local\Temp\loader_rezerv.exe (Backdoor.Delf) -> No action taken.

c:\Users\Artem\AppData\Local\Temp\myrar.exe (Trojan.Dropper) -> No action taken.

c:\Users\Artem\AppData\Local\Temp\iecheck11.exe (Trojan.VkHost) -> No action taken.

c:\Users\Artem\AppData\Local\Temp\loader2.exe (Trojan.Agent) -> No action taken.

c:\Windows\Temp\myrar.exe (Trojan.Dropper) -> No action taken.

Отлючите защитное ПО (Антивирус/Файерволл)!

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

Код:

begin

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

SearchRootkit(true, true);

SetAVZGuardStatus(true);

 ClearQuarantine;

TerminateProcessByName('C:\Windows\update.tray-2-0-lnk\svchost.exe');

 QuarantineFile('C:\Windows\update.tray-2-0\svchost.exe','');

 QuarantineFile('C:\Windows\system32\XDva380.sys','');

 QuarantineFile('C:\Windows\system32\XDva383.sys','');

 QuarantineFile('C:\Windows\loader2.exe_ok','');

 QuarantineFile('C:\Windows\winlog-dirs.txt','');

 QuarantineFile('C:\Windows\winlog-ids.txt','');

 QuarantineFile('C:\Windows\w_distrib_iplist.txt','');

 QuarantineFile('C:\Windows\ddh_iplist.txt','');

 QuarantineFile('C:\Windows\iecheck_iplist.txt','');

 QuarantineFile('C:\Windows\front_ip_list.txt','');

 QuarantineFile('C:\Windows\iplist.txt','');

 DeleteFile('C:\Windows\loader2.exe_ok');

 DeleteFile('C:\Windows\iplist.txt');

 DeleteFile('C:\Windows\front_ip_list.txt');

 DeleteFile('C:\Windows\system32\XDva380.sys');

 DeleteFile('C:\Windows\system32\XDva383.sys');

 DeleteFile('C:\Windows\update.tray-2-0\svchost.exe');

 DeleteFile('C:\Windows\iecheck_iplist.txt');

 DeleteFile('C:\Windows\ddh_iplist.txt');

 DeleteFile('C:\Windows\w_distrib_iplist.txt');

 DeleteFile('C:\Windows\winlog-ids.txt');

 DeleteFile('C:\Windows\winlog-dirs.txt');

 DeleteFile('C:\Windows\services32.exe');

 DeleteFile('services32.exe');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico0');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico1');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico2');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico3');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico4');

 RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wxpdrivers');

 RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\SafeBoot\network\wxpdrivers');

 RegKeyParamWrite('HKLM','SYSTEM\CurrentControlSet\Control\SafeBoot','AlternateShell','REG_SZ', 'cmd.exe');

 DeleteFileMask('C:\Windows\update.tray-2-0-lnk','*.*', true);

 DeleteFileMask('C:\Windows\av_ico','*.*', true);

 DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);

 DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);

 DeleteDirectory('C:\Windows\update.1\');

 DeleteDirectory('C:\Windows\update.2\');

 DeleteDirectory('C:\Windows\update.3\');

 DeleteDirectory('C:\Windows\update.tray-2-0\');

 DeleteDirectory('C:\Windows\update.tray-2-0-lnk');

 DeleteDirectory('C:\Windows\av_ico');

BC_ImportAll;

ExecuteSysClean;

 BC_DeleteSvc('XDva380');

 BC_DeleteSvc('XDva383');

 BC_DeleteSvc('wxpdrivers');

BC_Activate;

RebootWindows(true);

end.

После выполнения скрипта компьютер перезагрузится!

• После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip из папки AVZ через эту форму.

Сделайте новые логи AVZ, RSIT, MBAM.

Приветствую!...

Опять же, сделал всё, как было описано, кроме:

"Удалить в MBAB:
код:

Заражённые процессы в памяти:
c:\Windows\update.tray-2-0-lnk\svchost.exe (Trojan.Dropper) -> 2556 -> No action taken.

Заражённые ключи в реестре:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wxpdrivers (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\wxpdrivers (Trojan.Agent) -> No action taken.

Заражённые файлы:
c:\Windows\update.tray-2-0-lnk\svchost.exe (Trojan.Dropper) -> No action taken.
c:\Users\Artem\AppData\Local\Temp\loader_rezerv.exe (Backdoor.Delf) -> No action taken.
c:\Users\Artem\AppData\Local\Temp\myrar.exe (Trojan.Dropper) -> No action taken.
c:\Users\Artem\AppData\Local\Temp\iecheck11.exe (Trojan.VkHost) -> No action taken.
c:\Users\Artem\AppData\Local\Temp\loader2.exe (Trojan.Agent) -> No action taken.
c:\Windows\Temp\myrar.exe (Trojan.Dropper) -> No action taken."

Как именно это сделать?

На F: у вас вторая ОС?

Восстановите эти файлы из арантина MBAM. Главное меню MBAM -> вкладка Карантин -> Отметить указанные ниже файлы и нажать на кнопку Восстановить.

Код:

f:\WINDOWS\system32\eventvwr.exe (Trojan.FakeMS) -> Quarantined and deleted successfully.

f:\WINDOWS\system32\ctfmon.exe (Trojan.FakeMS) -> Quarantined and deleted successfully.

f:\WINDOWS\system32\dllcache\iissync.exe (Virus.Expiro) -> Quarantined and deleted successfully.

Сделайте новый лог сканирования MBAM.

Пофиксите в hijackthis:

Код:

O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)

Хмм... Да, там стоит XP, очень давно ей не пользовался, Использую F: исключительно, как носитель...

Чисто. Проблема решена?

Удалите файл:

Код:

C:\Windows\system32\tmpC481.tmp

Вижу следы от некорректно удаленного Др.Веб. Деинсталлируйте через dr.web remover

Создайте новую контрольную точку восстановления и удалите зараженную:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно - Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Обновите Adobe Reader до последней версии.

Обновите Adobe Flash Player до последней версии

Делаю всё по инструкции, но нажимая на кнопку "Удалить" (3.png) ничего не происходит. Значит ли это, что можно переходить сразу к пункту 2. "Восстановление системы" ?

Затем нажмите Ok и подтвердите выполнение действий.

Как создать новую контрольную точку восстановления и очистить предыдущие

Проблема решена! Спасибо за помощь! Портал у вас - что надо! :)