Решена Надоели вирусы!!! Помогите!!!

Статус
В этой теме нельзя размещать новые ответы.

Elka

Новый пользователь
Сообщения
13
Реакции
0
Началось все с того, что перестали открываться антивирусные сайты. Перестал загружаться в обычном режиме CureIT (в безопасном режиме проблем с ним нет). После проверки SDFix сайты открываются, а CureIT все также - появляется окно "setup.exe - обнаружена ошибка. Приложение будет закрыто". Посоветуйте, пожалуйста, как избавиться от гадов...
 
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\VFTWX3AG\pin[1].exe','');
 QuarantineFile('yes.exe','');
 QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll','');
 QuarantineFile('C:\WINDOWS\system32\twex.exe','');
 DeleteFile('C:\WINDOWS\system32\twex.exe');
 DeleteFile('C:\WINDOWS\system32\msvcrt57.dll');
 DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\VFTWX3AG\pin[1].exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес 54712<at>rambler.ru где <at> - это @. В письме укажите ссылку на тему.

Cкачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится лог сохраниться в файл C:\ComboFix.txt

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Выложите новые логи АВЗ и Комбофикс и Гмер. И C:\Report.txt прикрипите к сообщению.
 
Сообщение так и не удалось отправить, возвращается назад.:unknw: Новые логи выкладываю. А что делать с карантином АВЗ и C:\Report.txt, сюда же выложить?
 
C:\Report.txt - да выложите. Карантин не надо.

yes.exe - попробуйте поискать при помощи АВЗ--сервис--поиск файлов на диске. Напишите если найдётся.

Включите показ скрытых и системных файлов, если он у вас отключен, найдите
c:\windows\system32\57FFB51F78.sys
c:\windows\system32\KGyGaAvL.sys

и проверьте их на virustotal.com а у нас дайте ссылки на результаты проверки файлов

Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ с паролем virus и пришлите на с указанием ссылки на тему и файл quarantine.zip из папки AVZ тудаже попробуйте выслать
 
Последнее редактирование:
хттп://www.virustotal.com/ru/analisis/e7bc4dae24f55a9ee554a09821bff798
хттп://www.virustotal.com/ru/analisis/24b7f9caf677a16331e64e9f56ffa70c

yes.exe - не нашла
 
логи RSIST повторила. Компьютер ведет себя гораздо лучше. Все первоначальные проблемы исчезли, т.е. и сайты и CureIT открываются. Неужели на этом все?!!:yahoo:
 
Да. Теперь меняйте все пароли, т.к. один из вирусов у Вас был LdPinch.

Для деинсталяции ComboFix с компьютера необходимо выполнить:
Нажать Пуск затем Выполнить в окне наберите команду Combofix /u (обязательно нужен пробел между х и /), нажмите кнопку "ОК"
Combofix-unninstal.JPG


перед удалением гмера в папке Windows найдите файл gmer_uninstall.cmd запустите его, после удалите gmer_uninstall.cmd и gmer.ini, теперь можно удалять папку с Гмером.

Перед удалением АВЗ меню файл--стандартные скрипты, ставите галочку возле пункта 6 Удалние всех драйверов и ключей реестра AVZ. Выполнить отмеченный скрипты. после этого удаляйте папку с АВЗ.
 
Здорово!!! Спасибо большое! Ну, тогда уже для успокоения, почему в АВЗ при запуске станд.скриптов №3 выдается нижеследующий отчет:

Маскировка процесса с PID=3024, имя = "setup.exe", полное имя = "\Device\HarddiskVolume1\DOCUME~1\9335~1\LOCALS~1\Temp\RarSFX0\setup.exe"
>> обнаружена подмена PID (текущий PID=3636, реальный = 3024)
>> обнаружена подмена имени, новое имя = "avz.exe
"


1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 863671F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 863671F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 863671F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 863671F8 -> перехватчик не определен


Так и должно быть?
 
Последнее редактирование:
Скачайте OTCleanIt, запустите, нажмите Clean up

setup.exe - похоже cureit

Acrobat 7.0 - сменить на Acrobat 9.0
Дочистим мусор :)
Пофиксить в HijackThis следующие строчки
Код:
 O24 - Desktop Component 0: (no name) - http://www.winda.ru/photo/files/big/DNaturenature_374.jpg
O24 - Desktop Component 1: (no name) - http://www.winda.ru/photo/files/big/DPrirodab4732.jpg
O24 - Desktop Component 2: (no name) - http://www.winda.ru/photo/files/big/DPictureslandscape57.JPG
O24 - Desktop Component 3: (no name) - http://www.winda.ru/photo/files/big/DPicturesCAT_0030.JPG
O24 - Desktop Component 4: (no name) - http://www.winda.ru/photo/files/big/DNature72-1024.JPG
O24 - Desktop Component 5: (no name) - http://www.winda.ru/photo/files/small/DNaturenature_437.jpg
O24 - Desktop Component 6: (no name) - http://img.blogonline.ru/bl/posts/thumbs/70/1178388470_1_53.jpg

Скачайте OTMoveIt3 by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
Код:
:Processes
explorer.exe

:Services
ajpzfedx
:Files
C:\WINDOWS\system32\drivers\ajpzfedx.sys
:Reg

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.
Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
 
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 863671F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 863671F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 863671F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 863671F8 -> перехватчик не определен

Ну это вполне может быть. т.к. некоторые программы загружают часть кода в оперативную память и потом понять кто это сделал непонятно.

"\Device\HarddiskVolume1\DOCUME~1\9335~1\LOCALS~1\ Temp\RarSFX0\setup.exe"
Это запускалось что-то из архива.
 
После полного анализа карантинов
msvcrt57.dll - Trojan-PSW.Win32.WebMoner.ea, pin[1].exe - Trojan-PSW.Win32.LdPinch.grh, twex.exe - Trojan-Spy.Win32.Zbot.omn, qmgr0.dat, qmgr1.dat - Trojan-Downloader.Win32.Pif.ng
 
Меняйте все пароли.
 
Спасибо всем огромное! Все рекомендации выполнила. :good3:
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу