Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Помогите пожалуйста полечить компутер (http://forum.oszone.net/showthread.php?t=181201)

Алекс К 22-07-2010 18:38 1458609
Помогите пожалуйста полечить компутер
 
Вложений: 1
Здравствуйте. Проблема такая - не могу посетить ни один антивирусный сайт. Ранее таких проблем не было. Начитавшись про Кидо прошу Вас о помощи.
Ещё при загрузке постоянно открываются "мои документы" два раза.
Куреит вирусов не обнаружил.
Спасибо.

help? 22-07-2010 18:43 1458612
Алекс К, привет:)
Смотрю логи.

help? 22-07-2010 18:59 1458625
Когда даже проблемы исчезнут, это не значит, что система чиста.
HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,\\?\globalroot\systemroot\system32\aU2t7iU.exe,userinit.exe
O2 - BHO: Helper_bho - {71E59D37-D7FC-4ED6-BC1D-D13BE02FE6C5} - (no file)
O20 - AppInit_DLLs:
195.38.32.3 195.38.33.2
Ваши днс?
Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('\\?\globalroot\systemroot\system32\aU2t7iU.exe','');
 QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
 QuarantineFile('C:\WINDOWS\system32\KB905474\wgasetup.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\windrvr6.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\atapi.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\FNETURPX.SYS','');
 QuarantineFile('C:\DOCUME~1\3D98~1\LOCALS~1\Temp\esihdrv.sys','');
 DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\DOCUME~1\3D98~1\LOCALS~1\Temp\esihdrv.sys');
 DeleteFile('\\?\globalroot\systemroot\system32\aU2t7iU.exe');
 DeleteService('esihdrv');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.Скачайте обычную авз, сделайте новые логи ее.
Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Алекс К 22-07-2010 22:20 1458762
Вложений: 2
Выполнил все процедуры.
На сайты антивирусов теперь пускает.
При выполнении первого скрипта компьютер сам не перезагрузился.
Как определить мой истинный днс?
Карантин на Касперский отправил. Ответ ещё не пришёл.
Спасибо!

help? 22-07-2010 22:43 1458769
Внимание !!! База поcледний раз обновлялась 08.07.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз/пуск)
После выполните скрипт в авз:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\RECYCLER\S-1-5-21-583907252-1383384898-725345543-1003\Dc3.pif','');
 DeleteFile('C:\RECYCLER\S-1-5-21-583907252-1383384898-725345543-1003\Dc3.pif');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine1.zip');
end.
Отправьте quarantine1.zip пот ой же ссылки, что и первый.Когда придет ответ-сообщите.
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
Очистить и создать новую контрольную точку восстановления, чтобы если во время лечения произошла непредвиденная ситуация, пользователь мог вернуть систему к предыдущему состоянию:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
Также можно пофиксить в HiJackThis эти строки еще:
Код:
O4 - HKUS\S-1-5-19\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'Default user')
Повторите логи после всего этого.Что с проблемами?:)

Rapidshare.RU Public Web Drive.lnk
Сами в автозагрузки добавляли?
А также проверить систему этим
И лог работы прикрепить.

Алекс К 24-07-2010 04:57 1459637
Я прошу прощения, необходимо приостановить лечение. Возникли временные неполадки с модемом. Спасибо Вам за помощь. Как разберусь - хочется закончить лечение.

Drongo 24-07-2010 14:11 1459810
Алекс К, Хорошо, тема будет открыта и ждать вашего появления. :)

Алекс К 30-07-2010 21:36 1463835
Вложений: 1
Здравствуйте. Хотелось бы продолжить лечение.
1. При загрузке компьютера открываются "мои документы" один раз.
2. На антивирусные сайты доступ есть, мой антивирус обновляется.
3
Цитата:
Цитата help?
Rapidshare.RU Public Web Drive.lnk
Сами в автозагрузки добавляли? »
Нет, скорее стоял по умолчанию при установке, а я проглядел.
4. Ответ на
Цитата:
Цитата help?
quarantine.zip. »
ещё не пришёл, хотя отчёт о доставке пришёл.
5.
Цитата:
Цитата help?
quarantine1.zip »
весит чуть более 6 Мб, возможно поэтому отправить его не могу.

Отчёты прилагаю

Спасибо

Алекс К 02-08-2010 20:47 1465517
Up :)

help? 02-08-2010 21:05 1465531
Алекс К, посмотрю:)

help? 02-08-2010 21:21 1465542
Утилита нашла у вас руткит, вылечили?Судя по логу системный драйвер-заблокирован.

Алекс К 08-08-2010 20:01 1469519
Цитата:
Цитата help?
Утилита нашла у вас руткит »
Скажу честно, в этом я - чайник. Обьясните пожалуйста.
Цитата:
Цитата help?
Судя по логу системный драйвер-заблокирован »
Чем это страшно и как с этим бороться?
Блин, видел у вас на сайте инфу про обучение. Разгребусь с делами - обязательно поучусь. Жутко интересно!

iskander-k 08-08-2010 20:54 1469558
Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
  • Sections
  • IAT/EAT
  • Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Алекс К 13-08-2010 21:07 1473181
Вложений: 1
При запуске Gmer выходит сообщение об ошибке.
Загружал с предложенных ссылок.

Алекс К 18-08-2010 21:44 1476644
Я так понял - заблокирован atapi?

Алекс К 18-08-2010 22:23 1476666
TDS Killer предлагает пропустить, карантин, удалить. Чем чревато? Виндоус не прийдётся переустанавливать?

Алекс К 21-08-2010 19:59 1478808
Help me, please! :help:

Arbitr 21-08-2010 20:29 1478837
Цитата:
Цитата Алекс К
Help me, please! »
вам порекомендоавли выполнить GMER если не получается то
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."

Алекс К 22-08-2010 10:37 1479116
Вложений: 1
Сделано.
Gmer у меня не пошёл, писал ранее.
Спасибо!

Arbitr 22-08-2010 10:57 1479127
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::

File::
c:\windows\nsreg.dat

Driver::

Folder::

Registry::

FileLook::

DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
так жепожалуйста скачайте AVZ 4.34 обновите базы сделайте логи + логи RSIT

скажите вам знакомы следующие адреса находящиеся в свердловске (екатеринбург)
Код:
"78.139.64.0,255.255.224.0,78.139.90.129,1"=""
"78.139.96.0,255.255.248.0,78.139.90.129,1"=""
"78.139.120.0,255.255.254.0,78.139.90.129,1"=""
"89.107.116.0,255.255.252.0,78.139.90.129,1"=""
"89.107.112.0,255.255.254.0,78.139.90.129,1"=""
"89.107.115.0,255.255.255.128,78.139.90.129,1"=""
"89.107.115.128,255.255.255.192,78.139.90.129,1"=""
"89.107.115.192,255.255.255.224,78.139.90.129,1"=""
"89.107.115.240,255.255.255.240,78.139.90.129,1"=""
"80.78.114.0,255.255.254.0,78.139.90.129,1"=""

Алекс К 22-08-2010 17:49 1479427
Вложений: 1
Сделано.
[q=Arbitr]скажите вам знакомы следующие адреса находящиеся в свердловске (екатеринбург)
Код:
"78.139.64.0,255.255.224.0,78.139.90.129,1"=""
"78.139.96.0,255.255.248.0,78.139.90.129,1"=""
"78.139.120.0,255.255.254.0,78.139.90.129,1"=""
"89.107.116.0,255.255.252.0,78.139.90.129,1"=""
"89.107.112.0,255.255.254.0,78.139.90.129,1"=""
"89.107.115.0,255.255.255.128,78.139.90.129,1"=""
"89.107.115.128,255.255.255.192,78.139.90.129,1"=""
"89.107.115.192,255.255.255.224,78.139.90.129,1"=""
"89.107.115.240,255.255.255.240,78.139.90.129,1"=""
"80.78.114.0,255.255.254.0,78.139.90.129,1"=""
Я не знаю что это вообще такое. Можно поподробнее?
Спасибо.

Arbitr 22-08-2010 19:05 1479479
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::

File::

Driver::

Folder::


Registry::
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\persistentroutes]
"78.139.64.0,255.255.224.0,78.139.90.129,1"=-
"78.139.96.0,255.255.248.0,78.139.90.129,1"=-
"78.139.120.0,255.255.254.0,78.139.90.129,1"=-
"89.107.116.0,255.255.252.0,78.139.90.129,1"=-
"89.107.112.0,255.255.254.0,78.139.90.129,1"=-
"89.107.115.0,255.255.255.128,78.139.90.129,1"=-
"89.107.115.128,255.255.255.192,78.139.90.129,1"=-
"89.107.115.192,255.255.255.224,78.139.90.129,1"=-
"89.107.115.240,255.255.255.240,78.139.90.129,1"=-
"80.78.114.0,255.255.254.0,78.139.90.129,1"=-

FileLook::

DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up
на этом в принципе все

небольшое дополнение
скачайте и запустите ATFcliner, поставьте галочку напротив Select All и нажмите Empty Selected.
2. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
3. нажмите No, если вы хотите оставить ваши сохраненные пароли
4. если вы используете Opera, нажмите Opera - Select All - Empty Selected
5. нажмите No, если вы хотите оставить ваши сохраненные пароли.
# Очистить и создать новую контрольную точку восстановления,
1. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
2. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить.
смениет все важные для вас пароли
ну и было бы неплохо
Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в блокнот и выложите в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Алекс К 26-08-2010 22:18 1482519
Вложений: 1
Сделано.
Anti-malware предлагает удалить заражённые файлы.
Удалять?
Спасибо!

Алекс К 02-09-2010 12:57 1487089
Цитата:
Цитата Arbitr
на этом в принципе все »
???

Arbitr 02-09-2010 13:22 1487110
имел ввиду что в общем да..мелочь убрать с помощью MBAM
Зараженные ключи в реестре:
Код:
HKEY_CLASSES_ROOT\Interface\{e743cf05-181c-4d72-b4ee-95435ed4b86b} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{f1287389-b2fe-4315-8484-540b2033646d} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\AppID\{d96fa298-1bb6-47fc-ad21-72781b744dc3} (Adware.Reklosoft) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.
HKEY_CLASSES_ROOT\AppID\rs_adw.DLL (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\Software\SearchHelper (Adware.Reklosoft) -> No action taken.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
и все
как сейчас..есть проблемы??
комбо деинсталировали уже??

Алекс К 02-09-2010 19:22 1487363
Комбо деинсталлировал.
Проблем пока не наблюдается.
Что делать с заражёнными ключами?
Спасибо!

Drongo 02-09-2010 20:16 1487393
Цитата:
Цитата Алекс К
Что делать с заражёнными ключами? »
Удалять конечно же. :)

Алекс К 11-09-2010 11:05 1492945
Как правильно удалить заражённые ключи?

Drongo 11-09-2010 21:05 1493316
Цитата:
Цитата Алекс К
Как правильно удалить заражённые ключи? »
Провести сканирование заново и отметить указаный, да и удалить

Алекс К 14-09-2010 19:52 1495357
Спасибо!


Время: 21:05.

Время: 21:05.
© OSzone.net 2001-