Решена Интернетом надуло...

Статус
В этой теме нельзя размещать новые ответы.

StarkOFF

Новый пользователь
Сообщения
17
Реакции
0
Здравствуйте всем!

Маленькое предисловие...
Недавно, гуляя в сити мне посчастливилось поймать "замечательный вирус" NESHTA.A
Вчера и сегодня с утра я пытался его искоренить и Куреитом, и Каспером, Нодом... помоему получилось... но что то у меня есть самнения!Все как у вас на форуме написано!
в данный момент 15.55 МСК проверяю все Курейтом и пока (тьфу-тьфу-тьфу) ничего не нашел!
Кстати мне стало даж интересно, вот тут на форуме в одной теме по борьбе с Нешта написано "записать болванку с Курейтом на ЧИСТОМ компьютере" а я сканировал все со своего "зараженного"...
вот такие непонятки.

Вот, прошу совета у вас опытные юзеры что делать!?спасть спокойно или опять сканить систему!?


Заранее спасибо за ответы!
 
StarkOFF, еще лог AVZ необходим.
 
akoK, а просканировать все диски и потом лог сюда добавить или как!?

вот добавил фаил который создался как я установил программу и запустил проверку!
 
Последнее редактирование:
вот добавил фаил который создался как я установил программу и запустил проверку!
Немного не тот лог.

В папке AVZ есть папка Log, а вот в этой папке есть virusinfo_syscure.zip, virusinfo_syscheck.zip их то и нужно приложить к сообщению :).

Добавлено через 33 секунды
P>S> Живности еще много в системе.
 
Ой а где эта папка!? а то я архив разархивировал а там папка токо base!?
 
StarkOFF, появится после выполнения скриптов. Ладно сделаем так.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 ExecuteStdScr(3);
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Нажать кнопку "Запустить".
Код:
begin
 ExecuteStdScr(2);
 RebootWindows(true);
end.

После этого появится папка Log с нужными файлами.
P>S> Надеюсь AVZ не из архива запускаете?
 
а в этих Log"ах нет никакой личной информации (пароли, логины и тп)!?
 
StarkOFF, никакой личной информации не передается. Тем более из этой ветки скачивать вложения могут только ограниченное количество людей.
 
Вот файлики которые надо было=)

если что то еще надо будет пиши!
 
в одной теме по борьбе с Нешта написано "записать болванку с Курейтом на ЧИСТОМ компьютере"
Наверное там имелось ввиду записать LiveCD . И с него проверить.

Добавлено через 29 минут 32 секунды
  1. Отключите интернет и локальную сеть если таковая имеется.
  2. Очистите временные файлы.
    Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner.
    • Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    • Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
    • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
    • Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
    • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
  3. Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих.
    • Создание новой точки восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
    • Очистка всех предыдущих точек восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Очистка диска, выберите системный диск, на вкладке Дополнительно > Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.

* Подробнее можно прочитать в этой теме.

• Сохраните реестр:
Скачайте ERUNT, установите и запустите, выберите папку для сохранения, в разделе Backup options должны быть отмечены галочками строчки "System registry" , "Current user registry" и "Other open user registries", нажмите "Ok" и подтвердите создание папки.

Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
  SetServiceStart('FXDrv32', 4);
 StopService('FXDrv32');
QuarantineFile('C:\WINDOWS\mslsrv32.exe','');
 QuarantineFile('F:\FXDrv32.sys','');
 QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
 QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\dc86471937\tf42nXP.exe','');
 DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
 DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\dc86471937\tf42nXP.exe');
 DeleteFile('F:\FXDrv32.sys');
 DeleteFile('C:\WINDOWS\mslsrv32.exe');
 DeleteService('FXDrv32');
 BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
BC_DeleteFile('C:\WINDOWS\mslsrv32.exe');
BC_Activate;
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме.

HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis
Код:
O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\mslsrv32.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\mslsrv32.exe

Сделайте новые логи.


P.S Это сообщение касается только записей , начинающихся с O23



Для того чтобы пофиксить строку начинающуюся с O23 надо:
Код:
O23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe
1. Запустить HijackThis.
2. Нажать кнопку Open The Misc Tools section
3. Нажать кнопку Delete an NT Service
4. В открывшемся диалоге ввести название службы
svchost.exe:ext.exe
5.Нажать кнопку OK
P.S. Перегрузиться не помешает

Добавлено через 20 минут 59 секунд
• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
МВАМ не любит креки , так что перед удаление проверьте результат сканирования.
 
Последнее редактирование:
И в дополнение к новым логам.

Скачайте GMER по одной из указанных ссылок:
Gmer со случайным именем, Gmer в zip-архиве (перед применением распаковать в отдельную папку)
- Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
  • Sections
  • IAT/EAT
  • Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
 
iskander-k, это конечно все хорошо, долго делать!!!

Просто прошу заметить что в первом сообщении написал что проверил антивирусами и они ничего не нашли!
Так, собственно, меня просто заинтересовало не осталось где чего "вредного", если без этого что написано выше не обойтись, то тогда да, сделаю!

Заранее спасибо за понимание!!!

много полезных указаний СПАСИБО!!!Если кого чем обидел, терпения на этих вирусей не хватает!Низкий поклон вам за помощь!

akoK, ок надо будет попробовать


и тут что ошибка достала вылазит и вылазит!!приклеил фаил внизу
 
Последнее редактирование:
долго делать!!!
Желаете сэкономить время пропустите всё что касается сохранения и очистки и перейдите сразу к скриптам.

Времени потратите не больше чем надо для того чтобы скопировать код и вставить в АВЗ . И тоже само для хиджака.
Без труда не выловишь рыбку из пруда.
Просто прошу заметить я ЯСНО и ЧЕТКО в первом сообщении написал что проверил антивирусами и они ничего не нашли!
Так, собственно, меня просто заинтересовало не осталось где чего "вредного", если без этого что написано выше не обойтись, то тогда да, сделаю!

Если не верите проверьте, по названию, указанные в скрипте файлы в интернете.
 
Последнее редактирование:
StarkOFF, таки вредоносов в системе много еще осталось. Нужно выполнять...

Это Gmer такие ошибки выдает?

Тогда усилим AVZ.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 SetAVZPMStatus(true);
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
 
akoK, нет просто сидишь даж ничего не делаешь (компьютер просто включен) и через некоторое время бац эта ошибка ОК или ОТМЕНА.

так скрипт приведенный выше применил "Скрипт... забыл... нормально" Виндоуз стал перезагружаться и опять эта ошибка вылезла.


Есть еще один маленький вопросик допустим, я решил ниаких таких опираций по очистке не делать а решил все форматнуть, так вот, можно будет фотки и музыку и документы записать на диски флешки и тд и тп... или вирь всетаки как нить перенесется!?
 
Последнее редактирование:
Значит еще остался "мусор" после удаления вредоносного ПО. Добъем на втором прогоне (после повторных логов).
 
akoK, ок но второй прогон будет только завтра... вставать скоро.
и пока диска с Лайв СД нет или хотя бы с Курейтом.
 
Ну временные рамки мы не лимитируем. :)
 
akoK, посмотри плиз мое сообщение выше, я там вопросик один задал.

ОЙ, Спасибо, спасибо, а то блин я вчера чуть ли не волосы рвать начал!
просто недавно "белый экран" словил, а сейчас вот это. Стоит у меня кстати НОД, стоял сейчас Каспера поставил. Побегу после зарплаты лицензию покупать.
 
Есть еще один маленький вопросик допустим, я решил ниаких таких опираций по очистке не делать а решил все форматнуть, так вот, можно будет фотки и музыку и документы записать на диски флешки и тд и тп... или вирь всетаки как нить перенесется!?


Можно. Но антивирус должун быть установлен до переноса данных назад. И отключите автозапуск.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу