Решена Ноутбук Acer Aspire 3610 с зловредами

Статус
В этой теме нельзя размещать новые ответы.

Razey

Опытный участник
Сообщения
729
Реакции
33
Друг попросил помочь с его стареньким Acer Aspire 3610. Т.к. только учусь лечению, прошу помочь; ноутбук обещал отдать завтра-послезавтра, но если сам буду заниматься, то не раньше чем через 5-7 дней...

* На момент заражения был Windows XP SP2, пользовались в основном IE... Доставил SP3 и последние (с сервис пака и до декабря месяца) обновления, кое-что пролечил, отключил службы т.н. "ненужного" дома функционала (типа "Удаленный реестр" и т.д.)... В процессе работы RSIT выдал ошибку непонятную (воспроизвести не могу - если надо, могу снова его запустить принтскрин снять) со ссылкой на папку автозапуска и файл hosts (его проверил вручную - он в порядке). Также по логам понял, что до CIS стоял NOD32 и он не полностью удален...
 

Вложения

  • info.txt
    34.5 KB · Просмотры: 3
  • log.txt
    31.6 KB · Просмотры: 7
  • virusinfo_syscheck.zip
    22.3 KB · Просмотры: 6
  • virusinfo_syscure.zip
    22.7 KB · Просмотры: 8
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
  QuarantineFile('C:\DOCUME~1\МАКС\LOCALS~1\Temp\oUltraf.sys','');
 BC_ImportQuarantineList;
 BC_Activate;
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


Полученный архив отправьте при помощи этой формы


Доудалите Nod

Скачайте Malwarebytes' Anti-Malware.

- установите программу и обновите базы

- После запуска программы выбирете пункт "Полное сканирование" и нажмите "Сканирование".

- после окончания сканирования нажмите "ОК" => "Показать результаты". Выберите пункт "Сохранить отчет", сохраните файл который необходимо прикрепить к следующему своему сообщению.
 
Архив выслал, Nod удалил, отчет прикрепляю...
 

Вложения

  • mbam-log-2011-01-22 (01-23-41).txt
    1.8 KB · Просмотры: 11
Спасибо, готово! Что еще?
 
+ Сашка,

  • Скачать OTL.exe и сохранить его на рабочем столе.
  • Запустите файл двойной щелчок мыши.
  • Сделайте следующие настройки:

6e0c9b60372e7a69.jpg

В c814d031472c0ac1.png с Copy / Paste, введите следующую информацию:

Код:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
beep.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
ahcix86s.sys
KR10N.sys
nvstor32.sys
nvrd32.sys
explorer.exe
svchost.exe
userinit.exe
symmpi.sys
qmgr.dll
ws2_32.dll
proquota.exe
imm32.dll
kernel32.dll
ndis.sys
autochk.exe
spoolsv.exe
xmlprov.dll
ntmssvc.dll
mswsock.dll
ntfs.sys
tcpip.sys
termsrv.dll
sfcfiles.dll
st3shark.sys
srsvc.dll
adp3132.sys
mv61xx.sys
/md5stop
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\drivers\*.sys /90

  • Нажмите на кнопку, выделенные синим цветом:
  • После завершения проверки, будут созданы два файла - OTL.Txt и Extras.Txt..Прикрепите их в следующий комментарий.
 
Последнее редактирование модератором:
MBAM ничего не нашел (лог прикрепил), проверку OTL сделал (логи тоже во вложении)...

* icotonev, когда OTL запускал, у меня не было надписи Include 64bit Scans
 

Вложения

  • mbam-log-2011-01-22 (15-39-03).txt
    1,011 байт · Просмотры: 2
  • OTL.Txt
    215.3 KB · Просмотры: 4
  • Extras.Txt
    42.7 KB · Просмотры: 2
Запустите снова OTL.exe и с Copy / Paste копировать в поле c814d031472c0ac1.png следующие скрипт:

Код:
:OTL
SRV - (hpqcxs08) --  File not found
SRV - (AppMgmt) --  File not found
O3 - HKU\S-1-5-21-1789229805-2496361212-2247140631-1005\..\Toolbar\WebBrowser: (Rambler-Ассистент) - {468CD8A9-7C25-45FA-969E-3D925C689DC4} -  File not found
O4 - HKLM..\Run: [ISUSPM]  File not found
O4 - HKLM..\Run: [UpdateReminder]  File not found
O4 - HKU\S-1-5-21-1789229805-2496361212-2247140631-1005..\Run: [AtiTrayTools]  File not found
O4 - HKU\S-1-5-21-1789229805-2496361212-2247140631-1005..\Run: [EvJOWall]  File not found
O4 - HKU\S-1-5-21-1789229805-2496361212-2247140631-1005..\Run: [OM2_Monitor]  File not found
O4 - Startup: C:\Documents and Settings\VALLU\Главное меню\Программы\Автозагрузка\_uninst_setup_9.0.0.722_24.01.2010_16-19.exe.lnk =  File not found
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found

:files
recycler /alldrives
ipconfig /flushdns /c

:Commands
[purity]
[resethosts]
[clearallrestorepoints]
[emptytemp]
[emptyflash]
[Reboot]

После ввода скрипт нажмите кнопку отмечены красным цветом:
Будет создан файл. Вставить в следующем комментарии.
 
Последнее редактирование модератором:
Скрипт отработал, компьютер сам не перезагрузился (пришлось выключать питание), однако при последующей загрузке файл был создан - прилагаю во вложении...
 

Вложения

  • 01222011_172121.log
    7.4 KB · Просмотры: 5
На первый взгляд - никаких... Я так понимаю, это была чистка системы от ссылок на несуществующие файлы?

Добавлено через 3 минуты 2 секунды
Может пошустрее стала система грузиться... + вы еще папки временных каталогов "почистили"?

Добавлено через 1 час 4 минуты 48 секунд
Что дальше делать?
 
Если проблем нет, то запустите OTL и нажмите на кнопку CleanUp
 
Выполнил... Жду дальнейших указаний... :)
 
Razey, так лечение завершено.
 
Извините за незнание, а как присвоить теме статус "решено"?
 
Последнее редактирование:
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу