[решено] Вирусная атака ! - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - [решено] Вирусная атака ! (http://forum.oszone.net/showthread.php?t=185685)

Вирусная атака !

Здравствуйте.
Не работают сайты антивирусов, лагает комп, некоторые процесс видут себя странно, не работют программы AVPTool, HijackThis, AVZ, RSIT. Антивирус стоит нод32 и ведёт он себя странно. Всё, что получилось это создать лог с помощью combofix.
Помогит пожалуйста.

• Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение.

Код:

KillAll::



File::

c:\windows\system32\cd10152a.exe

c:\windows\system32\uxpqai.exe

c:\program files\Common Files\jqyrg4inedzz13m

c:\windows\system32\tmp3AD7.tmp

с:\windows\system32\tmp3AD6.tmp

c:\windows\system32\tmp3AB5.tmp

c:\windows\system32\config\systemprofile\Application Data\gqlidy.dat

c:\documents and settings\NetworkService\Application Data\gqlidy.dat

c:\windows\system32\40f9f9e7.exe

c:\windows\system32\tirscy.exe



Driver::



Folder::

c:\program files\Common Files\489d11ac

Registry::

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]

"Userinit"="c:\windows\system32\userinit.exe,"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"4101:TCP"= -

FileLook::



DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчёт ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Потом

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Запустите АВЗ обновите и сделайте логи.

НЕ могу загрузить ни одно вложении. Что делать ? Никак логи не выложить...
Ни науте ни на компе не выкладавает... пишет hijackthis.rar:
Exceeds forum quota by 1.6 Kb.

Понимаю, что не много не в тему, но никак не пойму почему !? С размером файлов всё нормально...

только на хиджак у вас такое ? какие еще логи присоединяете ?

Ура ! Загрузилось !
Черт его знает почему не хотел тогда... не понятно. Глючит что-то или ещё чего. В любом случаи вот логи. Программы запускались в порядке выкладывания логов ( сверху- вниз). Жду :)

Попробовал сейчас запустить EI. Загрузил яндекс, но писать не могу в нём. Т.е. тыкаю мышкой в строке пояска, а там не появляется курсор. Странно себя он ведёт IE вообще.
По умолчанию пользуюсь Оперой последней.
EI пытался запустить, чтобы попробовать Прикрепить файл через него, но так и не получилось загрузить даже форум. Он его не грузит вообще, только яндекс.

Код:

KillAll::



File::

c:\windows\system32\tmp3AD6.tmp

Driver::



Folder::



Registry::



FileLook::



DirLook::

MBR::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчёт ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin

 ExecuteRepair(1);

RebootWindows(true);

end.

• Cкачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::

Driver::



DirLook::

c:\documents and settings\Admin\Local Settings\Application Data\119611918618404084

c:\documents and settings\Admin\Local Settings\Application Data\119615131253941492



FileLook::

c:\windows\system32\SI.bin

c:\windows\chgkey.vbs



Folder::

c:\program files\Common Files\489d1145

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в блокнот и выложите в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

проверить на virusnet.info файл
c:\windows\Installer\56ba43.msi
c:\windows\Installer\56b727.msi
c:\windows\Installer\56b9db.msi
ссылку на результат приложить

Опять файлы на форум не загрузить... Приду попробую снова.

Логи.
MBAM до и после удаления найденного.
Так же ссылка на Ifolder для лога комбофикса. Ко всем кто помогает: уж извините, что пришлось заливать файл на посторонний ресурс. По другому он просто не хочет его прикреплять к сообщению.

http://ifolder.ru/19367418

to Arbitr
Не поверите, но я не нашёл этих файлов на компе. Даже папки интсаллер нет.
По мимо этого не нашёл на сайте информации как им отправить эти файлы, если бы они были...

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"

Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up
если проблем нет то отмечайте тему решеной