Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Загрязненная система (http://forum.oszone.net/showthread.php?t=237586)

SilverFire 30-06-2012 00:36 1943129
Загрязненная система
 
Здравствуйте. Попалась в целом загрязненная система.

Логи

Самому интересна тема лечения. По логам AVZ составил скрипт. Хочу проверить себя на правильность :)

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\PROGRA~1\BS-DEF~1\rg_crypc.dll','');
 QuarantineFile('C:\PROGRA~1\BS-DEF~1\bssax.ocx','');
 QuarantineFile('C:\PROGRA~1\BS-DEF~1\rg_call.dll','');
 StopService('sptd');
 DeleteService('sptd');
 QuarantineFile('spqn.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\dump_atapi.sys','');
 DeleteFile('spqn.sys');
BC_ImportAll;
ClearHostsFile;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

S.R 30-06-2012 08:09 1943184
Здравствуйте, сейчас посмотрю логи.

S.R 30-06-2012 08:30 1943188
Отключите
Антивирус/Файерволл

Выполните скрипт в AVZ (меню Файл\Выполнить скрипт):
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'В процессе выполнения скрипта компьютер будет перезагружен.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearHostsFile;
 QuarantineFile('C:\WINDOWS\system32\muzapp.exe','');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Shell','Explorer.exe');
BC_ImportAll;
BC_Activate;
 ExecuteRepair(13);
RebootWindows(true);
end.
----------------------------------------
После этого выполните следующий скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Архив quarantine.zip из папки с AVZ отправьте через веб-форму.
----------------------------------------
  • Скачайте и запустите HijackThis.
  • Нажмите кнопку Do a system scan only.
  • В открывшемся логе сканирования поставьте галочки напротив указанных строк и нажмите кнопку Fix сhecked.
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = grasxp.at.ua
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe srnh.lto iqfnr
O1 - Hosts: 94.242.214.146 m.vk.com
O1 - Hosts: 94.242.214.146 odnoklassniki.ru
O1 - Hosts: 94.242.214.146 www.vkontakte.ru
O1 - Hosts: 94.242.214.146 WWW.m.vk.com
O1 - Hosts: 94.242.214.146 vkontakte.ru
O1 - Hosts: 94.242.214.146 www.odnoklassniki.ru
O1 - Hosts: 94.242.214.146 www.m.odnoklassniki.ru
O1 - Hosts: 94.242.214.146 m.my.mail.ru
O1 - Hosts: 94.242.214.146 m.odnoklassniki.ru
O1 - Hosts: 94.242.214.146 www.vk.com
O1 - Hosts: 94.242.214.146 www.m.my.mail.ru
O1 - Hosts: 94.242.214.146 my.mail.ru
O1 - Hosts: 94.242.214.146 vk.com
O1 - Hosts: 94.242.214.146 www.my.mail.ru
O1 - Hosts: 94.242.214.146 m.vkontakte.ru
----------------------------------------
Обновите базы AVZ (меню Файл\Обновление баз) и сделайте новые логи AVZ и RSIT.
----------------------------------------
Скачайте Malwarebytes' Anti-Malware, установите, обновите базы.
Выберите Полное сканирование, нажмите Сканирование. Отметьте локальные диски и флешки.
После сканирования откроется лог. Сохраните его и прикрепите к сообщению.
----------------------------------------
Скачайте SecurityCheck by screen317 по одной из этих ссылок на рабочий стол.Запустите программу, после появления консоли нажмите на любую клавишу для начала сканирования.
Дождитесь завершения сканирования и формирования лога. Скопируйте/вставьте содержимое лога утилиты в следующее сообщение.
----------------------------------------
Всё, что вы написали - легальные файлы. Если хотите обучиться борьбе с вредоносами - http://safezone.cc/ добро пожаловать!

SilverFire 02-07-2012 00:03 1944116
Логи AVZ
Логи MBAM
Логи RSIT

Results of screen317's Security Check version 0.99.24
Windows XP Service Pack 3 x86
Internet Explorer 8
``````````````````````````````
Antivirus/Firewall Check:
Antivirus up to date!
```````````````````````````````
Anti-malware/Other Utilities Check:
CCleaner
Adobe Flash Player 11.1.102.55
````````````````````````````````
Process Check:
objlist.exe by Laurent
Malwarebytes' Anti-Malware mbamservice.exe
Malwarebytes' Anti-Malware mbamgui.exe
``````````End of Log````````````

SilverFire 03-07-2012 12:18 1944861
ап!

SolarSpark 03-07-2012 15:08 1945003
логи RSIT не вижу

в МВАМ удалите
Код:
Обнаруженные ключи в реестре:  1
HKCR\idid (Trojan.Sasfix) -> Действие не было предпринято.
контрольные точки зачистите, заражение в них

Создайте новую контрольную точку восстановления и очистите предыдущие:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

с проблемой что?


Время: 18:56.

Время: 18:56.
© OSzone.net 2001-