Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Помогите в битве против вирусов... (http://forum.oszone.net/showthread.php?t=136078)

БеДА 28-03-2009 02:18 1076863
Помогите в битве против вирусов...
 
Вложений: 1
Выполняя поиск необходимой информации по интернету понахватал толпу вирусов. На тот момент в качестве антивирусника использовал NOD32, а поняв о наличии вирусов в системе заменил на DrWeb. Но DrWeb не смог "победить" всех вирусов.
При начале моей борьбы ситуация была критическая... Загрузка операционки проходила порядка 10 минут, а далее выходила системная ошибка винды и запускалась перезагрузка. С этим моментом мне удалось самостоятельно справитьлся... Но осталась последняя (или последние) проблемы.
На текущий момент при каждой перезагрузке операционки в system32 появлялись инфицированные библиотечки mmm?????.dll (mmmkfzhs.dll, mmmnurvt.dll и т.д.). Исходя их лога AVZ вероятно есть еще вирусы, которые себя проявляют не так активно.
Уважаемые хелперы, помогите плиз.
Заранее спасибо!

Pahom83 28-03-2009 08:49 1076954
БеДА, Здравствуйте.
Предварительно, для предотвращения заражения в ходе лечения, отключите автозапуск со съемных носителей, включите брандмауэр windows и уберите в исключениях брандмауэра общий доступ к файлам и принтерам.Выполните скрипт AVZ

Код:
begin
 QuarantineFile('C:\WINDOWS\system32\mmmnurvt.dll','');
 QuarantineFile('C:\WINDOWS\system32\iertutil.dll','');
 QuarantineFile('C:\Documents and Settings\Дмитрий\Local Settings\temp\~DF9783.tmp','');
 BC_DeleteFile('C:\Documents and Settings\Дмитрий\Local Settings\temp\~DF9783.tmp');
 BC_DeleteFile('C:\WINDOWS\system32\mmmnurvt.dll');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
Пофиксите в hijackthis строчку
Код:
O20 - AppInit_DLLs: C:\WINDOWS\system32\mmmlxfse.dll
Сделайте новые логи

-----------------------------------
Внимание! Строчка
Код:
BC_DeleteFile('C:\WINDOWS\system32\iertutil.dll');
убрана из скрипта, т.к. файл не является вредоносным и его удаление может нарушить работу системы.
Pahom83, внимательно проверяйте файлы, которые вставляете в скрипт на удаление, если сомневаетесь во вредоносности файла, лучше сначала берите в карантин и проверяйте. Надеюсь этот скрипт ещё не запускался.
Pili.

Pili 28-03-2009 15:54 1077193
БеДА, Здравствуйте. Ввиду того, что предыдущий скрипт не совсем точен.
Запустите HiJackThis, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
Код:
O2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)
O2 - BHO: klhlibP - {EA982585-D249-40C8-A368-C2BE7944ABC2} - (no file)
O20 - AppInit_DLLs: C:\WINDOWS\system32\mmmlxfse.dll
Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, временно выключите антивирус и другое защитное программное обеспечение, нажмите кнопку «Запустить».
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 QuarantineFile('digeste.dll','');
 QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys','');
 QuarantineFile('C:\WINDOWS\system32\mmmnurvt.dll','');
 QuarantineFile('C:\WINDOWS\system32\mmmlxfse.dll','');
 DeleteFile('C:\WINDOWS\system32\mmmlxfse.dll');
 DeleteFile('C:\WINDOWS\system32\mmmnurvt.dll');
 DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
 DeleteFile('digeste.dll');
 DelBHO('{EA982585-D249-40C8-A368-C2BE7944ABC2}');
 DelBHO('{2F364306-AA45-47B5-9F9D-39A8B94E7EF7}');
 DeleteService('port135sik');
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportDeletedList;
ExecuteSysClean;
 BC_DeleteSvc('port135sik');
BC_Activate;
ExecuteWizard('TSW', 1, 1, true);
ExecuteWizard('BT', 1, 1, true);
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
Код:
begin       
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip отправьте в вирлаб DrWeb и на user15802[at]mail.ru
Сделайте новые логи.

БеДА 28-03-2009 20:22 1077377
Pahom83, Pili,
Цитата:
Цитата Pahom83
BC_DeleteFile('C:\WINDOWS\system32\iertutil.dll'); »
:)
Это я уже понял... только чуть позже... когда винда совсем перестала загружаться...

Ладно, проехали...
Загрузку вылечил повторным накатом винды. От вирусов, вроде как, избавился.

Всем спасибо!

Котяра 28-03-2009 22:20 1077513
Цитата:
Цитата БеДА
когда винда совсем перестала загружаться... »
И на каком этапе загрузка останавливалась? Просто любопытно. Пустой рабочий стол был?

БеДА 29-03-2009 13:47 1077893
Котяра,
Совершенно верно, пустой рабочий стол
И на попытку запустить какое-либо приложение система выругивалась на недостающую библиотеку iertutil.dll.
А т.к. копии удаленной библиотеки у меня не было решил заново накатить винду (запустил setup через диспетчер задач).

Котяра 29-03-2009 14:54 1077985
БеДА,
Цитата:
Цитата БеДА
запустил setup через диспетчер задач »
А браузеры не запускались? Можно было бы скачать ее из Интернета.

БеДА 29-03-2009 18:58 1078192
Котяра,
Испорлшьзую только IE. Без этой библиотеки у меня не получилось его запустить...
Хотя, я не особо старался, т.к. не было дасточно свободного времени. Решил пойти проверенным способом.

Pili 30-03-2009 08:51 1078640
БеДА, файл можете попробовать восстановить из карантина. В следующий раз не запускайте непроверенные скрипты (проверяйте кто вам скрипты предлагает)
Цитата:
Цитата Pili
Сделайте новые логи. »


Время: 02:00.

Время: 02:00.
© OSzone.net 2001-