Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Рабочий стол без ярлыков и пуска! Логи сдделал! (http://forum.oszone.net/showthread.php?t=241739)

rosimk 31-08-2012 16:07 1980633
Рабочий стол без ярлыков и пуска! Логи сдделал!
 
Вложений: 1
Ребята выручайте!
Вроде всё проверил. процесс explorer так и не заработал.
Присоединяю логи.
Выручайте!

alex_sev 31-08-2012 16:26 1980650
Первое:

Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\documents and settings\marischka\start menu\programs\startup\l0z1.exe');
 QuarantineFileF('C:\Documents and Settings\Marischka\Application Data\', '*.exe', false, '', 0, 0);
 QuarantineFile('C:\WINDOWS\ResPatch\Selector.exe','');
 QuarantineFile('E:\MARNUO\guzu.exe','');
 QuarantineFile('C:\Documents and Settings\Marischka\Application Data\Trucuv.exe','');
 QuarantineFile('C:\Documents and Settings\Marischka\Application Data\Grucui.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\pe3ahduc.sys','');
 QuarantineFile('c:\documents and settings\marischka\start menu\programs\startup\l0z1.exe','');
 DeleteFile('C:\Documents and Settings\Marischka\Application Data\Grucui.exe');
 DeleteFile('C:\Documents and Settings\Marischka\Application Data\Trucuv.exe');
 DeleteFile('E:\MARNUO\guzu.exe');
 DeleteFile('C:\Documents and Settings\Marischka\Start Menu\Programs\Startup\l0z1.exe');
 DeleteFile('C:\WINDOWS\ResPatch\Selector.exe');
 DeleteFileMask('C:\Documents and Settings\Marischka\Application Data\', '*.exe', false);
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Grucui');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Trucuv');
 if MessageDLG('Заражение Вашего компьютера произошло через автоматический запуск программ на съемных накопителях. Отключить автозапуск?', mtConfirmation, mbYes+mbNo, 0) = 6 then
 RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'NoDriveTypeAutoRun', '221');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Второе:

Подготовьте лог OTL by OldTimer

rosimk 31-08-2012 18:20 1980723
Вложений: 2
  • Extras.Txt (36.20 KB, скачиваний: 7)
  • OTL.rar (22.30 KB, скачиваний: 9)
Спасибо!
Архив quarantine отправил через форму!
Файлы Extras и OTL прикрепляю. Только файл OTL пришлось за архивировать.

ТОЛЬКО ПРИЧИНА НЕ УСТРАНЕНА! РАБОЧИЙ СТОЛ ВСЁ ТАКЖЕ ПУСТ!

alex_sev 31-08-2012 18:35 1980732
  • Если у вас 32 разрядная версия windows, то скачайте SystemLook (32-bit)
  • Если у вас 64 разрядная версия windows, то необходимо скачать эту версию SystemLook (64-bit)
  • Дважды щелкните SystemLook.exe для его запуска.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  • Скопируйте содержимое скрипта и вставьте его в текстовое поле программы:
    Код:
    :filefind
    explorer.exe
  • Нажмите на кнопку Look, чтобы начать сканирование.
  • Когда сканирование будет завершено, откроется окно Блокнота с результатами сканирования. Пожалуйста, скопируйте текст отчета в следующее сообщение.
  • Если Вы закрыли Блокнот, то файл лога можно найти на рабочем столе: SystemLook.txt.

rosimk 31-08-2012 18:57 1980746
Цитата:
Цитата alex_sev
Нажмите на кнопку Look, чтобы начать сканирование.
Когда сканирование будет завершено, откроется окно Блокнота с результатами сканирования. Пожалуйста, скопируйте текст отчета в следующее сообщение.
Если Вы закрыли Блокнот, то файл лога можно найти на рабочем столе: SystemLook.txt.
------- »
:-)
Вот текст

SystemLook 30.07.11 by jpshortstuff
Log created at 18:53 on 31/08/2012 by Marischka
Administrator - Elevation successful

========== filefind ==========

Searching for "explorer.exe"
C:\WINDOWS\system32\dllcache\explorer.exe --a--c- 1520640 bytes [12:00 15/04/2008] [12:00 15/04/2008] C9C88CC31A197E90C9AEEB693634FEE5

-= EOF =-

alex_sev 31-08-2012 19:12 1980759
Первое:

Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 CopyFile('C:\WINDOWS\system32\dllcache\explorer.exe', '%WinDir%\explorer.exe');
 ExecuteRepair(16);
 ExecuteRepair(19);
 ExecuteWizard('SCU',2,3,true);
RebootWindows(false);
end.
Компьютер перезагрузится

Второе:

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве

Третье:
  • Загрузите SecurityCheck by screen317 отсюда или отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Когда увидите консоль, нажмите любую клавишу для продолжения сканирования
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем checkup.txt;
  • Прикрепите файл к следующему сообщению.
Подробнее читайте в руководстве.

rosimk 31-08-2012 20:11 1980788
После первого шага со скриптом для АВЗ всё наладилось!
Спасибо!

Как я могу от благодарить?

alex_sev 31-08-2012 20:27 1980793
Есть кнопочка Полезное сообщение.

А от остальных рекомендаций не отказывайтесь. У Вас был сетевой червь и еще троян, ворующий пароли - могло много остатков от них остаться

rosimk 31-08-2012 20:36 1980799
Как раз только второй шаг закончил..
Вот отчет
-----------
Код:
Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Версия базы данных:  v2012.08.31.09

Windows XP Service Pack 3 x86 FAT32
Internet Explorer 7.0.5730.13
Marischka :: KOT [администратор]

31.08.2012 20:14:48
mbam-log-2012-08-31 (20-31-40).txt

Тип сканирования:  Полное сканирование  (C:\|D:\|)
Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
Опции сканирования отключены: P2P
Просканированные объекты:  248088
Времени прошло:  14 минут , 15 секунд

Обнаруженные процессы в памяти:  0
(Вредоносных программ не обнаружено)

Обнаруженные модули в памяти:  0
(Вредоносных программ не обнаружено)

Обнаруженные ключи в реестре:  0
(Вредоносных программ не обнаружено)

Обнаруженные параметры в реестре:  1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Параметры: 1 -> Действие не было предпринято.

Объекты реестра обнаружены:  3
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

Обнаруженные папки:  0
(Вредоносных программ не обнаружено)

Обнаруженные файлы:  20
C:\Program Files\Total Commander\Plugins\arc\Default.sfx (Malware.Packer.Gen) -> Действие не было предпринято.
C:\Program Files\Total Commander\Utils\SFX Tool\Upack.exe (Malware.Packer.Gen) -> Действие не было предпринято.
C:\System Volume Information\_restore{0E9299EA-D55D-4214-8CFC-1E7B583EF575}\RP107\A0033509.exe (Trojan.Agent.Gen) -> Действие не было предпринято.
C:\System Volume Information\_restore{0E9299EA-D55D-4214-8CFC-1E7B583EF575}\RP108\A0038611.exe (Backdoor.Bot) -> Действие не было предпринято.
C:\System Volume Information\_restore{0E9299EA-D55D-4214-8CFC-1E7B583EF575}\RP108\A0038612.exe (Backdoor.Bot) -> Действие не было предпринято.
C:\System Volume Information\_restore{0E9299EA-D55D-4214-8CFC-1E7B583EF575}\RP109\A0038728.exe (Trojan.Zbot) -> Действие не было предпринято.
C:\System Volume Information\_restore{0E9299EA-D55D-4214-8CFC-1E7B583EF575}\RP109\A0038729.exe (Backdoor.Small) -> Действие не было предпринято.
C:\WINDOWS\Green Fields.scr (Malware.Packer.Gen) -> Действие не было предпринято.
C:\WINDOWS\system32\dp1.fne (Worm.Autorun) -> Действие не было предпринято.
C:\WINDOWS\system32\dllcache\ctfmon.exe (Trojan.FakeMS) -> Действие не было предпринято.
C:\WINDOWS\ResPatch\ResPatch.exe (Backdoor.Small) -> Действие не было предпринято.
C:\WINDOWS\system32\com.run (Trojan.Banker) -> Действие не было предпринято.
C:\WINDOWS\system32\eAPI.fne (Worm.AutoRun) -> Действие не было предпринято.
C:\WINDOWS\system32\krnln.fnr (Trojan.Agent) -> Действие не было предпринято.
C:\WINDOWS\system32\og.dll (Worm.AutoRun) -> Действие не было предпринято.
C:\WINDOWS\system32\og.EDT (Worm.AutoRun) -> Действие не было предпринято.
C:\WINDOWS\system32\RegEx.fnr (Worm.AutoRun) -> Действие не было предпринято.
C:\WINDOWS\system32\shell.fne (Worm.AutoRun) -> Действие не было предпринято.
C:\WINDOWS\system32\spec.fne (Worm.AutoRun) -> Действие не было предпринято.
C:\WINDOWS\system32\ul.dll (Worm.AutoRun) -> Действие не было предпринято.

(конец)
А вот после сканирование SecurityCheck текстовый файл с логом не сформировался... :(

alex_sev 31-08-2012 21:01 1980810
Хорошо идем таким путем по порядку:

Первое:

Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\dp1.fne','');
 QuarantineFile('C:\WINDOWS\ResPatch\ResPatch.exe','');
 QuarantineFile('C:\WINDOWS\system32\com.run','');
 QuarantineFile('C:\WINDOWS\system32\eAPI.fne','');
 QuarantineFile('C:\WINDOWS\system32\krnln.fnr','');
 QuarantineFile('C:\WINDOWS\system32\og.dll','');
 QuarantineFile('C:\WINDOWS\system32\og.EDT','');
 QuarantineFile('C:\WINDOWS\system32\RegEx.fnr','');
 QuarantineFile('C:\WINDOWS\system32\shell.fne','');
 QuarantineFile('C:\WINDOWS\system32\spec.fne','');
 DeleteFile('C:\WINDOWS\system32\dp1.fne');
 DeleteFile('C:\WINDOWS\ResPatch\ResPatch.exe');
 DeleteFile('C:\WINDOWS\system32\com.run');
 DeleteFile('C:\WINDOWS\system32\eAPI.fne');
 DeleteFile('C:\WINDOWS\system32\krnln.fnr');
 DeleteFile('C:\WINDOWS\system32\og.dll');
 DeleteFile('C:\WINDOWS\system32\og.EDT');
 DeleteFile('C:\WINDOWS\system32\RegEx.fnr');
 DeleteFile('C:\WINDOWS\system32\shell.fne');
 DeleteFile('C:\WINDOWS\system32\spec.fne');
 DeleteFile('C:\WINDOWS\system32\ul.dll');
 DeleteFileMask('C:\WINDOWS\system32\', '*.fne', false);
 DeleteFileMask('C:\WINDOWS\system32\', '*.fnr', false);
 DeleteFileMask('C:\Documents and Settings\Marischka\Application Data\', '*.tmp', false);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Второе:

Повторно запустите OTL by OldTimer и нажмите кнопку CleanUp

Третье:

Выполните в AVZ скрипт расположенный по этой ссылке http://dataforce.ru/~kad/ScanVuln.txt откройте файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления. (Обратите внимание, при установке сервис паков, обновлении ОС, может потребоваться повторная активация Windows)
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

Четвертое:

Смените все Важные пароли (контакт, почта)

Пятое:

Ознакомьтесь с этими рекомендациями


Время: 19:05.

Время: 19:05.
© OSzone.net 2001-