|
Вирус, не открываются сайты антивирусов.
Здравствуйте. Мой компьютер заражен вирусом. При попытки открыть антивирусные сайты (Dr Web, например) браузер тут же закрывается. Также наличествуют подозрительные файлы в корне на дисках C: и D:, а также в C:\Windows\Syswow64 и еще много где. Во многих папках файлы с расширениями .exe, .bat, .cif и именами, совпадающими с названием папки. Также система утверждает, что у меня в буфере записи на диск есть файлы. Вот логи. Прошу помощи.
|
Здравствуйте!
1) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): Код:
beginКод:
begin2) Сделайте дополнительно лог HiJackThis. 3) Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите Perform Full Scan (Полное сканирование), нажмите Scan (Сканирование), после сканирования - Ok - Show Results (Показать результаты) - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему сообщению. Самостоятельно ничего не удаляйте!!! Если лог не открылся, то найти его можно в следующей папке: Цитата:
Повторите логи AVZ (стандартный скрипт 2) и RSIT. |
Возникли сложности. Ссылка на hijackthis в факе - не прямая, и браузер закрывается при попытке открыть страницу. При попытке установить MBAM программа установки сворачивается после выбора языка и первого нажатия кнопки Next и больше не разворачивается. Логи Rsit и AVZ прилагаю, карантин на почту послал.
П.С. АВЗ выполнялся без драйвера АВЗПМ, так как при нажатии на кнопку "установить драйвер АВЗПМ" ничего не происходит. |
AVZ запускали от имени администратора ? Снова выполните написанное в посте №2. Карантина на почте тоже не вижу, так что продублируйте.
лог MBAM посторайтесь сделать в безопасном режиме. PS. а разве кто-нибудь просил установить драйвер AVZPM ?! самостоятельно настройки не меняйте и ничего не включайте ! |
АВЗ, нет, не от администратора.
Насчет АВЗПМ - это инструкция в ФАКе - 4. Запустите AVZ и обновите базы (Файл - Обновление баз). В меню AVZM выберите "Установить драйвер расширенного мониторинга процессов" (не забудьте после окончания лечения удалить драйвер AVZM). Выберите из меню Файл - Стандартные скрипты и поставьте галку напротив 3-го скрипта и нажмите "Выполнить отмеченные скрипты". После выполнения скрипта обязательно перезагрузите компьютер. Вот у меня этот самый драйвер не ставится |
Цитата:
На Windows 7 AVZ нужно запускать через контекстное меню проводника "Запустить от имени Администратора" т.к. административная учетная запись понижена в правах. Настройки в АВЗ не трогайте! так что выполните скрипт заново запустив AVZ от имени администратора и пришлите свежие логи и карантин. |
Насчет АВЗПМ - http://forum.oszone.net/post-717373-2.html - четвертый пункт здесь.
Выполнил скрипт в АВЗ запущенном от администратора. Могу после попробовать в безопасном режиме, если Вы считаете, что это поможет. Новые логи прикрепил. Карантин перепослал, теперь при помощи формы. Установить MBAM по прежнему невозможно, даже если запускать сетап от имени администратора. |
|
Вот лог.
|
Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
|
---------------
---------------------- + если компьютер подключён к локальной сети, то до окончания лечения отключите его от неё. + сделайте новый образ автозапуска. |
Security Check by glax24 version 0.1.6.55 rc2
WebSite: www.safezone.cc DataLog 04.06.2013 02:24:37 Program directory: C:\Users\BrainFreeze\AppData\Local\Temp\SecurityCheck\ Log directory: C:\SecurityCheck\ IsAdmin: True XML File - VersionLocal=4.3 Drive C:\ FS: NTFS Capacity: (46.5 Gb) Used: (36.3 Gb) Free: (10.2 Gb) __________________________________________________ WIN_7(6.1) Build 7600 (x64) Ultimate Lang: English(0409) Installation Date OS: 16.11.2009 18:51:45 LicenseStatus: Windows(R) 7, Ultimate edition The machine is permanently activated. Service Pack Not Installed Warning! Download UpDate Internet Explorer 8.0.7600.16385 Warning! Download UpDate -------------Windows------------------------------ UAC DISABLED ^It is recommended to enable: Win+R typing UserAccountControlSettings and Enter^ Запрос на повышение прав для администраторов disabled Запрос на повышение прав для обычных пользователей disabled Automatic Updates disabled (-1) Windows Update (wuauserv) - The service has stopped Security Center (wscsvc) - The service has stopped Regedit Disable -------------Antivirus_WMI------------------------ -------------Firewall_WMI------------------------- -------------AntiSpyware_WMI---------------------- Windows Defender -------------OtherUtilities----------------------- GPL Ghostscript 8.70 -------------Java--------------------------------- Java 7 Update 9 (64-bit) v.7.0.90 Warning! Download UpDate JavaFX 2.0.3 v.2.0.3 Warning! Download UpDate Java(TM) 6 Update 29 v.6.0.290 Warning! Download UpDate Java(TM) 7 Update 3 v.7.0.30 -------------AdobeProduction---------------------- Adobe Flash Player 11 Plugin v.11.6.602.180 Warning! Download UpDate -------------Browser------------------------------ Mozilla Firefox 21.0 (x86 en-US) v.21.0 -------------EndLog------------------------------- Новый лог прилагаю. Зуу отправил на мыло. |
Код:
C:\USERS\BRAINFREEZE\APPDATA\LOCAL\TRAPPED DEAD\MODELS\LVL_CHURCHYARD\CHURCHYARD_BOOK_02_OPEN.VMESH_DATA
----------------------- Цитата:
+ так же скачайте обновления остальных программ по ссылкам из вашего сообщения и установите их. + программа 1ClickDownloader - у вас установлена ? После этого сделайте новый образ UVS после этого обязательно установите какой-нибудь хотя бы бесплатный антивирус. |
UAC отключается через несколько секунд после его включения.
Поставил SP1, обновил все что просил обновить секьюрити чек, кроме шестой джавы. Новый Zoo послал на почту. Новый образ автозапуска прилагаю. Из перечисленныйх Вами в цитате програм две мне незнакомы, одна знакома, но, как я думал, удалена, одна знакома и установлена. 1-clickdownloader, скорее всего не установлен. Аваст не ставится, программа установки сворачивается после запуска, так же, как это делает MBAM. Новый лог секьюрити чека(на всякий случай): Security Check by glax24 version 0.1.6.55 rc2 WebSite: www.safezone.cc DataLog 04.06.2013 15:12:09 Program directory: C:\Users\BrainFreeze\AppData\Local\Temp\SecurityCheck\ Log directory: C:\SecurityCheck\ IsAdmin: True XML File - VersionInet=4.3 Drive C:\ FS: NTFS Capacity: (46.5 Gb) Used: (39.1 Gb) Free: (7.4 Gb) __________________________________________________ WIN_7(6.1) Build 7601 (x64) Ultimate Lang: English(0409) Installation Date OS: 16.11.2009 18:51:45 LicenseStatus: Windows(R) 7, Ultimate edition The machine is permanently activated. Service Pack 1 Internet Explorer 9.10.9200.16576 -------------Windows------------------------------ UAC DISABLED ^It is recommended to enable: Win+R typing UserAccountControlSettings and Enter^ Запрос на повышение прав для администраторов disabled Запрос на повышение прав для обычных пользователей disabled Automatically download and notify of installation Windows Update (wuauserv) - The service has stopped Security Center (wscsvc) - The service has stopped Regedit Disable -------------Antivirus_WMI------------------------ -------------Firewall_WMI------------------------- -------------AntiSpyware_WMI---------------------- Windows Defender -------------OtherUtilities----------------------- GPL Ghostscript 8.70 -------------Java--------------------------------- JavaFX 2.2.21 (64-bit) v.2.2.21 Java(TM) 6 Update 45 (64-bit) v.6.0.450 Java 7 Update 21 (64-bit) v.7.0.210 Java(TM) SE Development Kit 6 Update 45 (64-bit) v.1.6.0.450 Warning! Download UpDate JavaFX 2.0.3 v.2.0.3 Warning! Download UpDate Java(TM) 6 Update 29 v.6.0.290 Warning! Download UpDate Java(TM) 7 Update 3 v.7.0.30 -------------AdobeProduction---------------------- Adobe Flash Player 11 Plugin v.11.7.700.202 -------------Browser------------------------------ Mozilla Firefox 21.0 (x86 en-US) v.21.0 -------------RunningProcess----------------------- C:\Program Files (x86)\Mozilla Firefox\firefox.exe v.21.0.0.4879 -------------EndLog------------------------------- |
Попробуйте повторить скрипт из предыдущего сообщения в безопасном режиме.
После этого в нормальном режиме сделайте новый образ uVS. |
Цитата:
|
Послал новый ZOO.
Новый образ автозапуска здесь. На вопрос я ответил, возможно Вы не заметили "Из перечисленныйх Вами в цитате програм две мне незнакомы, одна знакома, но, как я думал, удалена, одна знакома и установлена." |
подробней можете пояснить, какие ? в частности какая знакома и установлена ? остальное почистим.
|
Знакома и установлена - Эадор. Сотворение, остальные могут гореть синим пламенем.
|
+ Установите Установите Adobe Acrobat XI или удалите старый
на вопрос об удаление программы рекомендую соглашаться. Сделайте новый образ автозапуска. |
+
1) Создайте точку восстановления системы. 2) пролечитесь с помощью Kaspersky Virus Removal Tool либо с помощью е CureIt . 3) отпишитесь о результатах. |
Cureit'ом лечить полной проверкой или быстрой?
В safe mode или в обычном режиме? Использовать ли "усиленную защиту" самого Cureit'а? Adobe Acrobat удалил, скрипт uvs'а выполнил, Zoo отправил на почту, новый образ автозапуска прилагаю. |
Выполнить нужно полную проверку в усиленном режиме CureIT. Если будут проблемы с проверкой Cure IT в обычном режиме выполните полную проверку в безопасном режиме.
Цитата:
|
ЛС отправил, проверка займет, боюсь, час-полтора.
|
Проверка завершилась, CureIt обнаружил больше 5500 зараженных файлов, все были заражены одним и тем же - Trojan.Muldrop.<какое-то пятизначное число>. Удалил все кроме тех, что находились в C:\Windows\Syswow64 и C:\users\brainfreeze\Appdata\Local\Temp (общим числом девять штук), на них он выдал результат "ошибка удаления". Симптомы заражения пропали не все - в частности, по-прежнему не открываются сайты антивирусов, но после перезагрузки не было сообщения, о том что какие-то файлы стоят в очереди на прожиг, которое появлялось раньше.
Upd. Удаленные файлы снова появились, как и сообщение о прожиге. |
Сделайте новый образ автозапуска uVS
+ постарайтесь снова сделать лог MBAM. А также попробуйте снова установить avast и включить UAC. |
UAC я проверил сразу после лечения - он слетает.
Avast и MBAM не ставятся с теми же симптомами. Новый образ автозапуска прилагаю. |
Код:
TRAPPED DEAD\MODELS\BUILDINGS\DUMMYBUILDING16.VMESH_DATA\DUMMYBUILDING16 |
В топку, если Вам не сложно. Я хотел бы оставить Эадор, если это возможно, но выбирая между одной программой и лечением компьютера я выберу лечение.)
|
лог ещё раз повторите и карантин снова продублируйте мне в ЛС. --------------------- компьютер к локальной сети подключён ? если да то отключите и не включайте до окончания лечения, есть вероятность что вирус также лезет через расшаренные папки. |
Компьютер подключен к роутеру, который раздает ему интернет по кабелю и является вайфай точкой для ноута соседа. Я сейчас с этого самого компьютера с вами общаюсь, так что отключив его от интернета, я не смогу получать от Вас новые инструкции. Однако, я могу отключать сеть, проводить предписанную Вами процедуру и включать ее снова - этого будет достаточно? Еще, наверное, я мог бы закрыть все расшаренные папки, хотя они и открыты только на чтение.
|
Ноут соседа точно не заражён ? Расшаренные папки лучше закрыть совсем.
+ у меня чувство, что заразы там ещё много осталось. Просканируйте для контроля ещё Kaspersky Virus Removal Tool. Если опять найдёт несколько тысяч заражённых файлов придётся лечить из под Live CD. |
Скорее всего найдет, так как удаленные файлы восстанавливались прямо на глазах, как будто они симптом, а не причина. Вы не могли бы дать прямую ссылку или залить куда-нибудь эту утилиту, у меня этот сайт не открывается(вирус закрывает браузер)?
Прошу прощения, одна из папок _была_ открыта на запись. Сейчас я закрыл все вовсе. |
Цитата:
а обновления виндоус через windows update все установили ? + поинтересуйтесь у соседа нету ли у него симптомов вируса. кстати, а по прямой ссылке тоже не качает ? http://devbuilds.kaspersky-labs.com/...6_04_20_34.exe |
По прямой ссылке скачалось. Вообще, все утилиты, на которые даются прямые ссылки я могу скачать, браузер закрывается только после того как страница подгрузилась, а по прямой ссылке появляется сразу диалог загрузки файла.
Сосед придет из магазина - спрошу. |
Тогда проверьте им, после этого перезагрузите компьютер и ещё раз проверьте. О результатах отпишитесь.
+ убедитесь, что установлены все апдейты виндоус через авто-обновление. |
Утилита не ставится, так же как не ставились Avast и MBAM.
Windows update при попытке выполнить действие "check for updates" выдает ошибку Code 80080005 - Windows Update encountered an unknown error. Сам SP1 я скачал и поставил вручную, но где взять апдейты после этого - не знаю(встречал торрент для русской версии Windows, но у меня английская и они на нее не ставятся). Ноут соседа чист - по крайней мере симптомов этого вируса на нем нет - он может зайти на сайты антивирей. |
Скачайте ComboFix здесь и сохраните на Рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению. Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo@fix.exe |
+
перед выполнением скрипта отключитесь от интернета, а сразу после выполнения попытайтесь установить AVPTool и просканировать компьютер. отпишитесь о результатах. |
Лог пришлось заархивировать - он был больше, чем предельных размер txt - attachment'ов, разрешенный форумом. Архив с логом приложен, архив не запаролен.
|
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt в корень диска С
Код:
KillAll:: Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению. |
Господа, у меня появился повод для радости - после того как я применил порекомендованную господином thyrex'ом утилиту(в первый раз) и установил часть критических апдейтов для виндоус(я-таки нашел где скачать часть из них) у меня решилась часть проблем:
1) я могу заходить на сайты антивирусов 2) я могу включить UAC 3) у меня заработал Windows Update 4) я смог поставить Kaspersky Virus Removal Tool и, как я думаю, смогу поставить другие необходимые программы - будь то MBAM или Avast Но у меня на компьютере по-прежнему те самые пять тысяч файлов, которые были созданы вирусом в ходе заражения. Лог второго применения комбофикса(со скриптом, то есть) прилагаю. Кстати после его применения произощла любопытная вещь - после того как он перезагрузил систему я не мог запускать exe-файлы(попробовал порядка 10) , выдавалось сообщение вида Illegal operation on registry key marked for deletion. Эффект пропал после повторной перезагрузки. Жду дальнейших инструкций. Стоит ли прямо сейчас устанавливать остальные апдейты(виндоус апдейт нашел 46 критических апдейтов)? |
Цитата:
|
Вложений: 1
Апдейты установил. AVP просканировал. Лог комбофикса прилагаю.
|
Код:
c:\programdata\Microsoft\Windows\Start Menu\Programs\1C-snowball.ru\Эадор - Сотворение\Наши сайты\сайты.exeсделайте лог полного сканирования MBAM и образ авзапуска uVS. + установите себе антивирус. |
Вложений: 1
https://www.virustotal.com/en/file/3...is/1370427402/ - результат вирустотала.
Лог MBAM'а прилагаю. С найденными им файлами что делать - нажать на кнопку "Remove Selected"? |
Цитата:
антивирус установили ? + жду лог uVS. |
Вложений: 1
Вот лог uvs.
Сейчас ставлю Avast. Upd.:поставил. |
Сделайте ещё раз лог полного сканирования MBAM. + что с проблемой ? |
С какой именно? Как я говорил, на сайты антивирусов я могу заходить уже некоторое время, а те тысячи вредоносных файлов, которые меня весьма раздражали удалил MBAM. В целом, я бы сказал, что симптомов больше нет.
Только теперь у меня куда-то исчезает место на диске C:\. Могли апдейты виндоус и антивирус съесть 8-10 гигобайт? Upd.: Разобрался. Там 3,5 гига карантина MBM. |
Всё равно сделайте свежий лог полного сканирования MBAM, надо убедиться, что ничего не осталось. До этого тоже удаляли файлы, а они восстанавливались ;).
|
Вложений: 1
Вот лог.
|
Деинсталируйте MBAM, навсякий случай рекомендую сменить пароли.
Сделайте ещё лог SecurityCheck by glax24
чтобы убедиться, что у вас никаких дыр для вирусов не осталось. + Выполните Рекомендации после лечения. |
Security Check by glax24 version 0.1.6.55 rc2
WebSite: www.safezone.cc DataLog 05.06.2013 22:08:11 Program directory: C:\Users\BrainFreeze\AppData\Local\Temp\SecurityCheck\ Log directory: C:\SecurityCheck\ IsAdmin: True XML File - VersionInet=4.3 Drive C:\ FS: NTFS Capacity: (46.5 Gb) Used: (41.2 Gb) Free: (5.3 Gb) __________________________________________________ WIN_7(6.1) Build 7601 (x64) Ultimate Lang: English(0409) Installation Date OS: 16.11.2009 18:51:45 LicenseStatus: Windows(R) 7, Ultimate edition Windows is in Notification mode Service Pack 1 Internet Explorer 9.10.9200.16576 -------------Windows------------------------------ UAC ENABLED Запрос на повышение прав для обычных пользователей disabled Automatic Updates disabled Date install updates: 2013-06-05 08:58:43 Windows Update (wuauserv) - The service is running Security Center (wscsvc) - The service is running -------------Antivirus_WMI------------------------ avast! Antivirus Antivirus up to date! -------------Firewall_WMI------------------------- -------------AntiSpyware_WMI---------------------- avast! Antivirus Windows Defender -------------AntiVirusFirewallInstall------------- avast! Free Antivirus v.8.0.1489.0 -------------OtherUtilities----------------------- GPL Ghostscript 8.70 Malwarebytes Anti-Malware version 1.75.0.1300 v.1.75.0.1300 -------------Java--------------------------------- JavaFX 2.2.21 (64-bit) v.2.2.21 Java(TM) 6 Update 45 (64-bit) v.6.0.450 Java 7 Update 21 (64-bit) v.7.0.210 Java(TM) SE Development Kit 6 Update 45 (64-bit) v.1.6.0.450 Warning! Download UpDate JavaFX 2.0.3 v.2.0.3 Warning! Download UpDate Java(TM) 6 Update 29 v.6.0.290 Warning! Download UpDate Java(TM) 7 Update 3 v.7.0.30 -------------AdobeProduction---------------------- Adobe Flash Player 11 Plugin v.11.7.700.202 -------------Browser------------------------------ Mozilla Firefox 21.0 (x86 en-US) v.21.0 -------------RunningProcess----------------------- C:\Program Files (x86)\Mozilla Firefox\firefox.exe v.21.0.0.4879 -------------EndLog------------------------------- Большое всем спасибо за помощь. Было приятно (и весьма полезно) с вами пообщаться. |
Цитата:
MBAM деинсталируйте. Удачи :). |
| Время: 19:56. |
Время: 19:56.
© OSzone.net 2001-