Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Остатки после удаления вируса winlock-get (http://forum.oszone.net/showthread.php?t=160835)

seman 19-12-2009 16:30 1299298
Остатки после удаления вируса winlock-get
 
Все банально - при загрузке баннер с просьбой разориться.
после запуска get.exe. - баннера не стало.
Вручную удалил из автозагрузки вирусный экзешник.
avz многое не нравится.
логи в прицепе.

iskander-k 19-12-2009 17:24 1299332
  1. Отключите интернет и локальную сеть если таковая имеется.
  2. Очистите временные файлы.
    Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner.
    • Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    • Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
    • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
    • Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
    • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
  3. Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих.
    • Создание новой точки восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
    • Очистка всех предыдущих точек восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Очистка диска, выберите системный диск, на вкладке Дополнительно > Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.

* Подробнее можно прочитать в этой теме.

• Сохраните реестр:
Скачайте ERUNT, установите и запустите, выберите папку для сохранения, в разделе Backup options должны быть отмечены галочками строчки "System registry" , "Current user registry" и "Other open user registries", нажмите "Ok" и подтвердите создание папки.


HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis
Код:
F2 - REG:system.ini: UserInit=\.globalrootsystemrootsystem32userinit.exe,
Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 QuarantineFile('globalroot\systemroot\system32\userinit.exe','');
 BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме.

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
  • Sections
  • IAT/EAT
  • Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

И сделайте лог
• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

seman 19-12-2009 19:48 1299458
iskander-k
после скрипта войти в систему невозможно,
поскольку не стало userinit. скопировал со здоровой системы - сейчас все ок.

iskander-k 19-12-2009 21:34 1299540
А лог МБАМ вы не сделали.

Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('H:\WINDOWS\system32\bkzxvz.dll','');
DeleteFile('H:\WINDOWS\system32\bkzxvz.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

Сохраните текст ниже как cleanup.bat в ту же папку, где находится mfbdb93l.exe (gmer)
Код:
mfbdb93l.exe -del service rrxcbnaag
mfbdb93l.exe -del file "H:\WINDOWS\system32\bkzxvz.dll"
mfbdb93l.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\rrxcbnaag"
mfbdb93l.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\rrxcbnaag"
mfbdb93l.exe -reboot
И запустите cleanup.bat.
Компьютер перезагрузится!

Сделать новый лог gmer.

Цитата:
Цитата seman
после скрипта войти в систему невозможно, »
Цитата:
Цитата iskander-k
globalroot\systemroot\system32\userinit.exe »
Странный путь для userinit (хотя возможен глюк АВЗ и в хиджаке сразу ?)

У вас сборка - чья?

seman 20-12-2009 11:07 1299803
Цитата:
Цитата iskander-k
Странный путь для userinit (хотя возможен глюк АВЗ и в хиджаке сразу ?)
У вас сборка - чья? »
да... путь какой-то странный.
сборка стандартная лицензионная home edition.
комп малость подвисает. похоже еще что-то с файловой системой.
chkdsk не работает. при запланированной загрузке на проверку пишет Cannot open volume for direct access.
если вирусного ничего не осталось, попробую накатить sp3.

Цитата:
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
вот это сделать не получилось. скачал базы, установил при запуске пишет базы не подходят для этой версии продукта, хотя скачал последнюю версию программы с сайта.

iskander-k 20-12-2009 16:09 1299972
По логам МБАМ - чисто

И нашло и удалило что удалил доктор веб(удалило из его карантина.).

По логу гмер - чисто .
Гмер удалил руткита.

Цитата:
Цитата seman
вот это сделать не получилось »
Возможно сетевой экран заблокировал доступ.

thyrex 20-12-2009 18:31 1300059
Логи AVZ еще раз сделайте

Цитата:
Цитата seman
Все банально - при загрузке баннер с просьбой разориться. »
В зависимости от версии вымогателя в ход пускают разные версии утилиты get. В данном случае в системе скорее всего остался драйвер, подмененный вымогателем :(

iskander-k 20-12-2009 19:10 1300091
Скачайте get3 - распакуйте и запустите в следующем сообщении присоедините файлик drv.sys который появляется в папке, откуда вы запускали get3.

seman 20-12-2009 21:00 1300188
iskander-k
запустил, комп перезагрузился, однако файла drv.sys не создалось!!!!
интересно следующее - раньше комп загружался до приветствия с пользовательской иконкой.
по которой щелкали и входили.
после выполнения get3- происходит автологон.

thyrex,

iskander-k 20-12-2009 22:29 1300265
Цитата:
Цитата seman
запустил, комп перезагрузился, однако файла drv.sys не создалось!!!! »
Файлик появится если в системе есть драйвер подмененный зловредом. Если его нет значит зловреда уже удалили.

seman 21-12-2009 07:51 1300484
iskander-k
а слогами avz все ок?
после выполнения 3 скрипта он выдал сообщение, что сделал какие то изменения, комп надо перезагрузить.

iskander-k 21-12-2009 09:11 1300510
Цитата:
Цитата seman
а слогами avz все ок? »
По логам я больше ничего не вижу.
Цитата:
Цитата seman
после выполнения 3 скрипта он выдал сообщение, что сделал какие то изменения, комп надо перезагрузить. »
Восстановлено 2 функций KiST в ходе работы антируткита


Программы МБАМ и Gmer можете удалить с компьютера.

seman 21-12-2009 09:37 1300533
Цитата:
Цитата iskander-k
Восстановлено 2 функций KiST в ходе работы антируткита »
именно это.

Цитата:
Цитата iskander-k
По логам я больше ничего не вижу. »
спасибо за помощь.


Время: 01:01.

Время: 01:01.
© OSzone.net 2001-