Решена Компьютер заражен вирусами

Статус
В этой теме нельзя размещать новые ответы.

hoper

Постоянный участник
Сообщения
341
Реакции
5
Компьютер оказался зараженным. Перестал работать интернет, установились какие-то непонятные китайские программы.
 

Вложения

  • info.txt
    6.3 KB · Просмотры: 1
  • log.txt
    39.1 KB · Просмотры: 7
  • virusinfo_syscheck.zip
    28.5 KB · Просмотры: 3
  • virusinfo_syscure.zip
    28.7 KB · Просмотры: 3
Приветствую joas, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.


__________________________________________________
С уважением, администрация SafeZone.
 
выклыдываю логи МВАМ и SecurityCheck
 

Вложения

  • mbam-log-2012-04-22 (17-20-49).txt
    114.1 KB · Просмотры: 4
  • checkup.txt
    730 байт · Просмотры: 2
Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 TerminateProcessByName('c:\documents and settings\фф\application data\yl86g6nq.exe');
 TerminateProcessByName('c:\program files\smss.exe');
 TerminateProcessByName('c:\windows\system32\jarinet\qqextrenal.exe');
 TerminateProcessByName('c:\documents and settings\фф\pieva.exe');
 TerminateProcessByName('c:\documents and settings\фф\application data\msconfig.exe');
 TerminateProcessByName('c:\documents and settings\фф\local settings\application data\ezprivacysub2.exe');
 TerminateProcessByName('c:\windows\chinde.exe');
 SetServiceStart('ПµНі№Шјь·юОс', 4);
 StopService('ПµНі№Шјь·юОс');
 QuarantineFile('C:\WINDOWS\system32\odwclfb.dll','');
 QuarantineFile('C:\Утилиты\Программы для интернета\123.exe','');
 QuarantineFile('C:\Утилиты\Программы для интернета\041.exe','');
 QuarantineFile('C:\Утилиты\Программы для интернета\005.exe','');
 QuarantineFile('C:\Documents and Settings\фф\dlay.exe','');
 QuarantineFile('C:\Program Files\Bifrost\server.exe','');
 QuarantineFile('C:\Утилиты\Программы для интернета\018.exe','');
 QuarantineFile('C:\Program Files\АМБц ЗБ¶уАМ№цЅГ\EzPrivacy2.exe','');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\042.exe','');
 QuarantineFile('C:\WINDOWS\system32\7DF045C6.sys','');
 QuarantineFile('C:\Program Files\Znveevzsv.fnr','');
 QuarantineFile('C:\Program Files\krnln.fne','');
 QuarantineFile('C:\Program Files\Exmlrpc.fne','');
 QuarantineFile('C:\Program Files\dp1.fne','');
 QuarantineFile('c:\documents and settings\фф\application data\yl86g6nq.exe','');
 QuarantineFile('c:\program files\smss.exe','');
 QuarantineFile('c:\windows\system32\jarinet\qqextrenal.exe','');
 QuarantineFile('c:\documents and settings\фф\pieva.exe','');
 QuarantineFile('c:\documents and settings\фф\application data\msconfig.exe','');
 QuarantineFile('c:\documents and settings\фф\local settings\application data\ezprivacysub2.exe','');
 QuarantineFile('c:\windows\chinde.exe','');
 DeleteFile('c:\documents and settings\фф\local settings\application data\ezprivacysub2.exe');
 DeleteFile('c:\windows\system32\jarinet\qqextrenal.exe');
 DeleteFile('C:\Program Files\dp1.fne');
 DeleteFile('C:\Program Files\Exmlrpc.fne');
 DeleteFile('C:\Program Files\krnln.fne');
 DeleteFile('C:\Program Files\Znveevzsv.fnr');
 DeleteFile('C:\WINDOWS\system32\7DF045C6.sys');
 DeleteFile('C:\Program Files\smss.exe');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\042.exe');
 DeleteFile('C:\Documents and Settings\фф\Application Data\YL86G6NQ.exe');
 DeleteFile('C:\Documents and Settings\фф\Application Data\msconfig.exe');
 DeleteFile('C:\Documents and Settings\фф\pieva.exe');
 DeleteFile('C:\WINDOWS\chinde.exe');
 DeleteFile('C:\Утилиты\Программы для интернета\018.exe');
 DeleteFile('C:\Documents and Settings\фф\dlay.exe');
 DeleteFile('C:\Утилиты\Программы для интернета\005.exe');
 DeleteFile('C:\Утилиты\Программы для интернета\041.exe');
 DeleteFile('C:\Утилиты\Программы для интернета\123.exe');
 DeleteFile('C:\WINDOWS\system32\odwclfb.dll');
 DeleteFile('C:\Program Files\bifrost\server.exe');
 DelCLSID('{9B71D88C-C598-4935-C5D1-43AA4DB90836}');
 if MessageDLG('Заражение Вашего компьютера произошло через автоматический запуск программ на съемных накопителях. Отключить автозапуск?', mtConfirmation, mbYes+mbNo, 0) = 6 then
 RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'NoDriveTypeAutoRun', '221');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','TX1W9BXAA3HA');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','WindowsUpdate');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','TX1W9BXAA3HA');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','TX1W9BXAA3HA');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','TX1W9BXAA3HA');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','pieva');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','WindowsUpdate');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','WindowsUpdate');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
 DeleteService('ПµНі№Шјь·юОс');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteFile('C:\WINDOWS\system32\7DF045C6.sys');
 BC_DeleteSvc('ПµНі№Шјь·юОс');
BC_Activate;
 ExecuteRepair(9);
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Пофиксите в HJT:

Код:
O4 - HKLM\..\Run: [TX1W9BXAA3HA] C:\Documents and Settings\фф\Application Data\YL86G6NQ.exe
O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\chinde.exe
O4 - HKLM\..\Run: [042.exe] C:\Documents and Settings\All Users\Application Data\042.exe
O4 - HKLM\..\Run: [WindowsUpdate] C:\Documents and Settings\фф\Application Data\msconfig.exe
O4 - HKCU\..\Run: [free-save] C:\Утилиты\Программы для интернета\018.exe
O4 - HKCU\..\Run: [pieva] C:\Documents and Settings\фф\pieva.exe /X
O4 - HKCU\..\Run: [WindowsUpdate] C:\Documents and Settings\фф\Application Data\msconfig.exe
O4 - HKLM\..\Policies\Explorer\Run: [TX1W9BXAA3HA] C:\Documents and Settings\фф\Application Data\YL86G6NQ.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\chinde.exe
O4 - HKCU\..\Policies\Explorer\Run: [TX1W9BXAA3HA] C:\Documents and Settings\фф\Application Data\YL86G6NQ.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\odwclfb.dll

Повторите сканирование MBAM и удалите все найденное

Повторите логи AVZ и RSIT
 
карантин получился на 25 мб, он не отправится через форму, там же лимит 8 мб
 
новые логи
 

Вложения

  • log.txt
    33.4 KB · Просмотры: 3
  • info.txt
    6.3 KB · Просмотры: 0
  • virusinfo_syscheck.zip
    17 KB · Просмотры: 0
  • virusinfo_syscure.zip
    18.5 KB · Просмотры: 2
Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 TerminateProcessByName('c:\documents and settings\фф\application data\googlecrashhandler.exe');
 QuarantineFile('C:\Program Files\АМБц ЗБ¶уАМ№цЅГ\EzPrivacy2.exe','');
 QuarantineFile('C:\Program Files\InfoWise\InfoWise.exe','');
 QuarantineFile('c:\documents and settings\фф\application data\googlecrashhandler.exe','');
 QuarantineFile('C:\Program Files\Znveevzsv.exe','');
 QuarantineFile('C:\WINDOWS\system32\44.tmp','');
 QuarantineFile('C:\1.vbs','');
 QuarantineFile('C:\Documents and Settings\фф\Application Data\ACHN4U.dll','');
 QuarantineFile('C:\WINDOWS\system32\sysapp2.dll','');
 QuarantineFile('C:\WINDOWS\system32\yumsimg32.dll','');
 QuarantineFile('C:\WINDOWS\system32\yumidimap.dll','');
 QuarantineFile('C:\WINDOWS\system32\yuksuser.dll','');
 QuarantineFile('C:\WINDOWS\system32\7DF045C6.sys','');
 DeleteFile('C:\Program Files\Znveevzsv.exe');
 DeleteFile('C:\WINDOWS\system32\44.tmp');
 DeleteFile('C:\1.vbs');
 DeleteFile('C:\Documents and Settings\фф\Application Data\ACHN4U.dll');
 DeleteFile('C:\WINDOWS\system32\sysapp2.dll');
 DeleteFile('C:\WINDOWS\system32\yumsimg32.dll');
 DeleteFile('C:\WINDOWS\system32\yumidimap.dll');
 DeleteFile('C:\WINDOWS\system32\yuksuser.dll');
 DeleteFile('C:\WINDOWS\system32\7DF045C6.sys');
 DeleteFile('C:\Documents and Settings\фф\Application Data\GoogleCrashHandler.exe');
 DeleteFile('C:\Program Files\InfoWise\InfoWise.exe');
 DeleteFile('C:\Program Files\АМБц ЗБ¶уАМ№цЅГ\EzPrivacy2.exe');
 DeleteFileMask('C:\Program Files\HanpanderPlayer', '*.*', true);
 DeleteDirectory('C:\Program Files\HanpanderPlayer');
 DeleteFileMask('C:\Program Files\АМБц ЗБ¶уАМ№цЅГ\', '*.*', true);
 DeleteDirectory('C:\Program Files\АМБц ЗБ¶уАМ№цЅГ\');
 DeleteFileMask('C:\Program Files\InfoWise\', '*.*', true);
 DeleteDirectory('C:\Program Files\InfoWise\');
 DeleteFileMask('C:\Program Files\bifrost\', '*.*', true);
 DeleteDirectory('C:\Program Files\bifrost\');
 DeleteFileMask('C:\Program Files\', '*.fnr', false);
 DeleteFileMask('C:\Program Files\', '*.fne', false);
 DeleteFileMask('c:\documents and settings\фф\application data\', '*.exe', false);
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','GoogleCrashHandler');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','InfoWise');
BC_ImportAll;
 BC_DeleteSvc('7DF045C6');
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(10);
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Пофиксите в HJT:

Код:
O4 - HKCU\..\Run: [GoogleCrashHandler] C:\Documents and Settings\фф\Application Data\GoogleCrashHandler.exe
O4 - HKLM\..\Run: [InfoWise] C:\Program Files\InfoWise\InfoWise.exe

Повторите логи AVZ, RSIT и MBAM
 
скрипт выполнил, карантин выслал.
Но после выполнения второго скрипта перестал запускаться хром.
Выдает ошибку: "Точка входа в процедуру yumsimg32.AlphaBlend не найдена в библиотеке DLL msimg32.dll". При входе в систему, компьютер требует якобы пароль, но на самом деле пароля нету, поэтому для входа в систему я в поле ввода пароля ничего не ввожу, а просто нажимаю ОК. Но все равно наличие окошки с требованием ввода пароля меня напрягает.
Сейчас готовлю новые логи
 
выкладываю логи АВЗ и РСИТ и выкладываю лог МВАМ. Лог virusinfo_syscheck.zip будет позже.
 

Вложения

  • log.txt
    32.3 KB · Просмотры: 2
  • info.txt
    6.3 KB · Просмотры: 1
  • virusinfo_syscure.zip
    16.7 KB · Просмотры: 3
  • mbam-log-2012-04-22 (19-20-43).txt
    4.8 KB · Просмотры: 3
лог virusinfo_syscheck.zip
 

Вложения

  • virusinfo_syscheck.zip
    15.5 KB · Просмотры: 4
1. Удалите в MBAM все найденное.
2. Установите антивирус.
3. Вставьте в CD-ROM диск с дистрибутивом Виндовс и скомандуйте в командной стороке:

Код:
sfc /scannow

4. Хром переустановите.

Добавлено через 2 минуты 2 секунды
+ еще подготовьте лог GMER
 
1. Удалите в MBAM все найденное.
удалил еще до вашего поста.
3. Вставьте в CD-ROM диск с дистрибутивом Виндовс и скомандуйте в командной стороке:
пробывал, не помогает. Все равно окно с вводом пароля появляется при загрузке.
Окна проводника также по-прежнему искажены.
 

Вложения

  • gmer.log
    65.1 KB · Просмотры: 7
В папке с AVZ есть папка Backup запакуйте ее и прикрепите к следующему сообщению
 
joas, выполните скрипт в AVZ

Код:
begin
 ExecuteRepair(6);
 ExecuteRepair(8);
 RebootWindows(false);
end.

компьютер перезагрузится.

какие-нибудь изменения к лучшему есть ?
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу