Показать полную графическую версию : Кто как решает проблему после вируса ?
был вирус на флешке RECYCLER\e5188982.exe
антивирус АВГ после проверки вроде бы как удаляет его. но я заметил что в ветке реестра где вирус себя прописывает запись снова появляется.
но дело было такое: я удалил параметр в реестр который определял открытие этой флешки через этот вирус, то есть там была такая запись:
RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RECYCLER\e5188982.exe
когда удалил, ОС стала ругаться что не может открыть так как не знает чем открывать это дело. тогда в этой же ветке создал новый параметр
"C:\WINDOWS\explorer.exe" /open
и к моему удивлению по клику на диске в мой компьютер флешка стала открываться, не знаю правильно это или нет ???
кто-то советует форматирование флешки но смысла я не вижу если вирус с нее уже удален... кто-то советует удалить в реестре все записи вируса но не советует как реанимировать после этого доступ к флешке и потому она потом просто уже не открывается.
интересно услышать советы спецов, по поводу реестра + флешка.
заранее спасибо.
iskander-k
08-09-2011, 19:45
Скорее всего вирус успел уже заразить вашу систему.в ветке реестра где вирус себя прописывает запись снова появляется. »
Выложите логи в соответствии с этими (http://forum.oszone.net/post-717373.html) инструкциями.
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 8:26:18, on 09.09.2011
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\AVG\AVG9\avgchsvx.exe
D:\Program Files\AVG\AVG9\avgrsx.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\AVG\AVG9\avgcsrvx.exe
D:\Program Files\AVG\AVG9\avgwdsvc.exe
D:\WINDOWS\system32\svchost.exe
D:\Program Files\Java\jre6\bin\jqs.exe
D:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\CyberLink\Shared files\RichVideo.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\wbem\wmiapsrv.exe
D:\Program Files\AVG\AVG9\avgnsx.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\hkcmd.exe
D:\WINDOWS\system32\igfxpers.exe
D:\WINDOWS\RTHDCPL.EXE
D:\Program Files\HP\ToolBoxFX\bin\HPTLBXFX.exe
D:\Program Files\HP\HP Software Update\HPWuSchd2.exe
D:\PROGRA~1\AVG\AVG9\avgtray.exe
D:\WINDOWS\system32\TaskSwitch.exe
D:\Program Files\Winamp\winampa.exe
D:\Program Files\Common Files\Java\Java Update\jusched.exe
D:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Messenger\msmsgs.exe
D:\Program Files\Mozilla Firefox\firefox.exe
E:\антивирусы\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.qip.ru/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.qip.ru
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/?clid=160095
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.qip.ru/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; ValueData: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
R3 - URLSearchHook: QIPBHO Class - {95289393-33EA-4F8D-B952-483415B9C955} - D:\Documents and Settings\SECRETARI.UJKH-E6A17FCAC7\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - D:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - D:\Program Files\AVG\AVG9\avgssie.dll
O2 - BHO: QIPBHO - {95289393-33EA-4F8D-B952-483415B9C955} - D:\Documents and Settings\SECRETARI.UJKH-E6A17FCAC7\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar1.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar1.dll
O3 - Toolbar: MyPlayCity.Бар - {EDF7BDB3-F1D6-4b9f-8E93-742A4D9443FC} - D:\Program Files\MyPlayCity\MyPlayCityBarIE\MyPlayCityBar.dll
O4 - HKLM\..\Run: [IgfxTray] D:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] D:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] D:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ToolBoxFX] "D:\Program Files\HP\ToolBoxFX\bin\HPTLBXFX.exe" /enum:on /alerts:on /notifications:on /fl:on /fr:on /appData:on /tmcp:on
O4 - HKLM\..\Run: [HP Software Update] D:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [AVG9_TRAY] D:\PROGRA~1\AVG\AVG9\avgtray.exe
O4 - HKLM\..\Run: [CoolSwitch] D:\WINDOWS\system32\TaskSwitch.exe
O4 - HKLM\..\Run: [WinampAgent] D:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RemoteControl] "D:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LanguageShortcut] "D:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [JMB36X IDE Setup] D:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] D:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Red Christmas Tree] H:\Новогодние елки на рабочий стол\Новогодние елки на рабочий стол\RedChristmasTree.exe
O4 - HKCU\..\Run: [Plasticine Tree] H:\Новогодние елки на рабочий стол\Новогодние елки на рабочий стол\PlasticineTree.exe
O4 - HKCU\..\Run: [NDTrayAgent] "D:\Program Files\NauDoc Tray Agent\NDTrayAgent.exe"
O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Magic Tree] H:\Новогодние елки на рабочий стол\Новогодние елки на рабочий стол\MagicTree.exe
O4 - HKCU\..\Run: [LiveChristmasTree] H:\Новогодние елки на рабочий стол\Новогодние елки на рабочий стол\LiveChristmasTree.exe
O4 - HKCU\..\Run: [DesktopXmasTree] H:\Новогодние елки на рабочий стол\Новогодние елки на рабочий стол\Xmas.exe
O4 - HKCU\..\Run: [Deluxe Tree] D:\Documents and Settings\SECRETARI.UJKH-E6A17FCAC7\Рабочий стол\Юлия\Christmas2.exe
O4 - HKCU\..\Run: [ChristmasTree] H:\Новогодние елки на рабочий стол\Новогодние елки на рабочий стол\Christmas.exe
O4 - HKCU\..\Run: [amva] D:\WINDOWS\system32\amvo.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Ускоренный запуск Adobe Reader.lnk = D:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google Search - res://D:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Backward Links - res://D:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://D:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://D:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://D:\Program Files\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: D:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{E5A6A2D4-32A6-461E-BB53-2DBAC91C65BD}: NameServer = 10.10.21.9
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - D:\Program Files\AVG\AVG9\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - avgrsstx.dll (file missing)
O22 - SharedTaskScheduler: Предзагрузчик Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - D:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Демон кэша категорий компонентов - {8C7461EF-2B13-11d2-BE35-3078302C2030} - D:\WINDOWS\system32\browseui.dll
O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - D:\Program Files\AVG\AVG9\avgwdsvc.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - D:\WINDOWS\system32\services.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - D:\WINDOWS\system32\imapi.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - D:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - D:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - D:\WINDOWS\system32\sessmgr.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - D:\Program Files\CyberLink\Shared files\RichVideo.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - D:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - D:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - D:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - D:\WINDOWS\system32\wbem\wmiapsrv.exe
--
End of file - 9991 bytes
вообще-то того вируса про который я говорил вроде бы как уже нет...
O4 - HKCU\..\Run: [Magic Tree] H:\Новогодние елки на рабочий стол\Новогодние елки на рабочий стол\MagicTree.exe
O4 - HKCU\..\Run: [LiveChristmasTree] H:\Новогодние елки на рабочий стол\Новогодние елки на рабочий стол\LiveChristmasTree.exe
O4 - HKCU\..\Run: [DesktopXmasTree] H:\Новогодние елки на рабочий стол\Новогодние елки на рабочий стол\Xmas.exe
O4 - HKCU\..\Run: [Deluxe Tree] D:\Documents and Settings\SECRETARI.UJKH-E6A17FCAC7\Рабочий стол\Юлия\Christmas2.exe
O4 - HKCU\..\Run: [ChristmasTree] H:\Новогодние елки на рабочий стол\Новогодние елки на рабочий стол\Christmas.exe »
O4 - HKCU\..\Run: [Red Christmas Tree] H:\Новогодние елки на рабочий стол\Новогодние елки на рабочий стол\RedChristmasTree.exe
O4 - HKCU\..\Run: [Plasticine Tree] H:\Новогодние елки на рабочий стол\Новогодние елки на рабочий стол\PlasticineTree.exe »
Вроде сейчас лето - а столько елок :o
SolarSpark
09-09-2011, 11:42
трояна вижу, после лечения смените пароли....
логи AVZ где?
лог RSIT?
Отключите:
Антивирус/Файерволл
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\system32\amvo.exe','');
DeleteFile('D:\WINDOWS\system32\amvo.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','amva');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
Пофиксить в HijackThis (http://forum.oszone.net/post-1430293-2.html) следующие строчки:
R3 - URLSearchHook: (no name) - - (no file)
O4 - HKCU\..\Run: [amva] D:\WINDOWS\system32\amvo.exe
Обновите Internet Explorer до IE8 (http://www.microsoft.com/windows/internet-explorer/worldwide-sites.aspx)
Обновляем систему до SP3. Service Pack 3 (http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4) (может потребоваться активация)
Скачайте и установите критические обновления windows (http://update.microsoft.com/windowsupdate/v6/thanks.aspx?ln=ru&&thankspage=5)
Обновите Adobe Reader (http://get.adobe.com/uk/reader/)
Сделайте ЛОГИ AVZ + RSIT (смотрим в правилах)
iskander-k
09-09-2011, 17:33
вообще-то того вируса про который я говорил вроде бы как уже нет... »
Если вы его не видите то это не значит , что у вас нет вирусов.
© OSzone.net 2001-2012
vBulletin v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.