Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Вирус, незапуск антивирей+ошибки explorer.exe (http://forum.oszone.net/showthread.php?t=186001)

StJimmy 20-09-2010 17:43 1499997
Вирус, незапуск антивирей+ошибки explorer.exe
 
Вложений: 2
Ситуация такая:
на компьютере 2 учетный записи пользователей. У одного пользователя начало выдавать ошибки explorer.exe я почитав форумы из другой учетной записи прогнал AVZ, CureIt. Убил пару троянов и подозрительных. Но восстановление системы в AVZ забыл сделать (восстановление рабочего стола) и перезагрузил. Проблемы остались но еще добавилось то что антивири перестали запускаться, все!! Я потыкался, поделал что пишут но в итоге забил и лег спать. На утро антивирь родной нод32 запустился, а за ним и AVZ опять заработал. В итоге сделал восстановление стола, он заработал в обеих учетных записях пользователей.
Но остался вирус походу, посмотрите логи пожалуста, там файл который я убиваю, а он снова появляется после перезагрузки под другим именем раньше spys.sys затем под spfg.sys . Как убить гада?

Arbitr 20-09-2010 17:54 1500011
от AVZ нужны следующие файлы
virusinfo_syscure .zip и virusinfo_syschek.zip

StJimmy 20-09-2010 19:24 1500107
вот файлы лога,

Drongo 20-09-2010 20:07 1500142
StJimmy, Программа
Код:
D:\Poker\Titan Poker\casino.exe
- известна и установлена самостоятельно?

Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\system32\e3248248.exe','');
 QuarantineFile('c:\windows\system32\mbpjnd.exe','');
 QuarantineFile('digiwet.dll','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Myo77.sys','');
 DeleteFile('c:\windows\system32\e3248248.exe');
 DeleteFile('c:\windows\system32\mbpjnd.exe');
 DeleteFile('digiwet.dll');
 DeleteFile('C:\WINDOWS\System32\Drivers\Myo77.sys');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\SecurityProviders','SecurityProviders');
 RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');
 DeleteService('Myo77');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(20);
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

• Скачайте RSIT или c зеркала. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Обновите антивирусные базы AVZ переделайте логи

StJimmy 20-09-2010 20:55 1500189
Вложений: 2
Цитата:
Цитата Drongo
Код:
D:\Poker\Titan Poker\casino.exe- известна и установлена самостоятельно? »
Да известное и сам устанавливал, на всякий случай я его удалил так как оно мне не особо нужно.

quarantine.zip отправил, логи Rsit прикладываю ,

рабочий стол грузится стал вроде быстрее и без фокусов

Drongo 20-09-2010 21:21 1500213
Цитата:
Цитата Drongo
Обновите антивирусные базы AVZ переделайте логи »
А эти логи где? Что с проблемами после выполнения скрипт?

Drongo 20-09-2010 21:41 1500231
Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\rdvhml.exe','');
 QuarantineFile('C:\WINDOWS\DUMP6a43.tmp','');
 DeleteFile('C:\WINDOWS\DUMP6a43.tmp');
 DeleteFile('C:\WINDOWS\system32\rdvhml.exe');
 DelBHO('{7778AA60-698A-41D9-9BF0-7AB41045AA7F}');
 DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
 DelBHO('{95289393-33EA-4F8D-B952-483415B9C955}');
 DelBHO('{A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE}');
 RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Myo77.sys');
 RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Control\SafeBoot\network\Myo77.sys');
 RegKeyStrParamWrite('HKLM', 'system\currentcontrolset\control\securityproviders', 'SecurityProviders', 'msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll');
 DeleteFileMask('C:\Program Files\Common Files\c80e4fec', '*.*', true);
 DeleteDirectory('C:\Program Files\Common Files\c80e4fec');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте на quarantine<at>virusnet.info (at=@) с указанной ссылкой на тему. , в названии темы укажите - "Проверка карантина". В теле сообщения укажите адрес своей темы на форуме. Результаты ответа, сообщите здесь, в теме.

StJimmy 20-09-2010 22:10 1500256
Вложений: 2
вот логи проделанные на обновленных базах AVZ, до проделывания вашего последнего скрипта

проблемы вроде бы исчезли, просто хочу избавиться не только от последствий но и причины

StJimmy 20-09-2010 22:55 1500290
Цитата:
Цитата Drongo
Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. »
ответ на самый первый запрос от касперского пришел:
e3248248.exe - Packed.Win32.Krap.hr
mbpjnd.exe - Trojan.Win32.Jorik.Shiz.ea
В настоящий момент эти файлы определяются антивирусом со свежими антивирусными базами.

все проделал, завтра еще раз прогоню AVZ

Drongo 21-09-2010 00:37 1500355
Подозрительного больше ничего не увидел.

Arbitr 21-09-2010 00:56 1500371
Цитата:
Цитата StJimmy
все проделал, завтра еще раз прогоню AVZ »
Цитата:
Цитата Drongo
Подозрительного больше ничего не увидел. »
не стоит..за ночь у вас там ничего не вырастет..
можно сделать аткой лог
Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в блокнот и выложите в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

StJimmy 21-09-2010 14:48 1500755
Вложений: 1
вот лог с Malwarebytes

Drongo 21-09-2010 15:09 1500770
StJimmy, Проведите сканирование заново и удалите эти пункты

Код:
Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\CLSID\{fffc57db-1de3-4303-b24d-cee6dcdd3d86} (Adware.MyCentria) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{fffc57db-1de3-4303-b24d-cee6dcdd3d86} (Adware.MyCentria) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\MyCentria (Adware.MyCentria) -> No action taken.

Зараженные папки:
C:\Program Files\MyCentria (Adware.MyCentria) -> No action taken.
C:\Program Files\MyCentria\Firefox (Adware.MyCentria) -> No action taken.
C:\Program Files\MyCentria\InfoBar (Adware.MyCentria) -> No action taken.
C:\CONFIG\S-1-5-21-1482476501-1644491937-682003330-1013 (Backdoor.IRCBot) -> No action taken.
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.

StJimmy 21-09-2010 17:51 1500917
подождите , а что все остальное оставить? там же в логе еще несколько троянов обнаружено?

удалил все что вы сказали, наверное теперь проблему можно считать решенной, всем спасибо!!!

Drongo 21-09-2010 18:34 1500949
Цитата:
Цитата StJimmy
там же в логе еще несколько троянов обнаружено? »
Это ложняк


Время: 03:24.

Время: 03:24.
© OSzone.net 2001-