Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] очень сильный вирус (http://forum.oszone.net/showthread.php?t=155995)

Serepunka 06-11-2009 15:12 1263223
очень сильный вирус
 
Здравствуйте.
С сайта www.vkon-******.ru скачал левое приложение, окахалось что это вирус.
Через два часа вылезло окошко об активации виндоз (отправьте смс блаблабла), диспетчер задач открыть не удалось, но походив по сайтам, нашел как это дело исправить, следущее, что я обнаружил, это то, что скрытые файлы перестали отображаться, покопался в реестре, тоже это дело исправил. Запустил антивирус, удалил найденные, но на следующий день опять выскочило это окошко, диспетчер опять не открывался. Диспетчер вернуть не проблема, но вот избавляться от приложений activate.exe порядком надоело, он штампует их и днем и ночью, если вовремя их не поймать то активация так и будет выскакивать. Activate.exe засадил на карантин (антивирус Avira) после этого началось самое интересное. То приложение которое пропало после открытия, вдруг выдает ошибку, посмотрел через диспетчер задач, че это за процесс (1.tmp) удалил и его, но теперь каждый раз, это приложение создает такие же tmp но уже с другими названиями. Также каждый раз добавляет запись www.vkontakte.ru в документе hosts.
Если у кого то была такая проблема или кто нить знает как избавиться от этого, подскажите пожалуйста.

Drongo 06-11-2009 15:25 1263234
Выполните рекомендации и прикрепите к следующему сообщению полученные логи.

Serepunka 07-11-2009 22:01 1264206
Вложений: 2
все сделал, но активация по прежнему продолжает меня преследовать

Aleksandra 07-11-2009 22:19 1264217
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:
begin
SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
 DelBHO('{95289393-33EA-4F8D-B952-483415B9C955}');
 DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
 DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
 QuarantineFile('C:\WINDOWS\system32\loio.jho','');
 DeleteFile('C:\WINDOWS\system32\*.jho');
 DeleteFile('C:\WINDOWS\activate.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(13);
ExecuteRepair(16);
BC_Activate;
CreateQurantineArchive('C:\quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
quarantine.zip отправьте мне на aleksandra.sedakova[antispam]gmail.com

3. Повторите лог virusinfo_syscheck.

Serepunka 08-11-2009 16:45 1264857
на почту отправил, лог прикрепил.

Aleksandra 08-11-2009 16:56 1264874
Скачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой только системный раздел (обычно это диск C:\) и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например gmer.log и прикрепите лог к сообщению в Вашей теме.

Serepunka 08-11-2009 20:12 1265036
Вложений: 1
очень долго проверял часа 3 наверно

Aleksandra 08-11-2009 20:30 1265052
Запустите Gmer. Нажмите на кнопку «>>>» для отображения дополнительных функций программы. Выберите вкладку CMD. В верхнее окно скопируйте команды и нажмите Run.

Код:
jrb2ucdz.exe -del service aywmj
jrb2ucdz.exe -del service kruroms
jrb2ucdz.exe -del service mlmsxtcyu
jrb2ucdz.exe -del service rnaumw
jrb2ucdz.exe -del file "C:\WINDOWS\system32\fhutzq.dll"
jrb2ucdz.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\aywmj"
jrb2ucdz.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kruroms"
jrb2ucdz.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\mlmsxtcyu"
jrb2ucdz.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\rnaumw"
jrb2ucdz.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\aywmj"
jrb2ucdz.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\kruroms"
jrb2ucdz.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\mlmsxtcyu"
jrb2ucdz.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\rnaumw"
jrb2ucdz.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\aywmj"
jrb2ucdz.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\kruroms"
jrb2ucdz.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\mlmsxtcyu"
jrb2ucdz.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\rnaumw"
jrb2ucdz.exe -reboot
Повторите лог.

Serepunka 08-11-2009 20:56 1265075
команды выполнил, а вот как мне сохранить лог? ведь видоз перезагружается.

thyrex 08-11-2009 21:37 1265114
Цитата:
Цитата Serepunka
а вот как мне сохранить лог? ведь видоз перезагружается. »
Заново запустите программу gmer и подготовьте лог

Serepunka 08-11-2009 23:23 1265204
Вложений: 1
вот что вышло

Aleksandra 09-11-2009 01:27 1265288
Ничего зловредного в логах нет. Что с проблемами?

Serepunka 09-11-2009 02:04 1265307
Антивирус включаю каждый день, вместо 2 опасностей пишет 5. но никак они себя не проявляют. Это значит что от основного вируса я избавился или нет?

Aleksandra 09-11-2009 02:13 1265312
Да, в логах активного заражения не видно.

Serepunka 09-11-2009 08:42 1265384
Всем огромное спасибо за помощь.


Время: 00:19.

Время: 00:19.
© OSzone.net 2001-