Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] после лечения компьютера без антивирусного ПО (http://forum.oszone.net/showthread.php?t=188119)

seman 12-10-2010 11:09 1516986
после лечения компьютера без антивирусного ПО
 
Комп был полностью инфицирован разными вирусами включая sality.
касперский удалил вирусы, Combofix убрал руткита.
почистил hosts, остановил ненужные службы вручную.
заблокировано было все. восстановил с помощью авз.

Посмотрите, пожалуйста, логи.

zirreX 12-10-2010 17:23 1517256
Код:
Platform: Windows XP SP2 (WinNT 5.01.2600)  MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Установите Internet Explorer 8 и Service Pack 3 для Windows XP (потребуется активация)

Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл)

Запустите AVZ и обновите базы (Файл -> Обновление баз)
AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\RtkBtMnt.exe','');
QuarantineFile('C:\Documents and Settings\Пользователь\vaajol.exe ','');
DeleteFile('C:\Documents and Settings\Пользователь\vaajol.exe ');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин. Отправьте c:\quarantine.zip на адрес quarantine@virusnet.info, в названии темы укажите – "Проверка карантина". В теле сообщения укажите адрес своей темы на форуме. Результаты ответа сообщите здесь, в теме.


Скачайте утилиту Sality Killer.Распакуйте и запустите SalityKiller.exe, дождитесь окончания работы утилиты.

Скачайте Sality RegKeys.
Распакуйте и запустите эти файлы:
Disable autorun.reg - отключает автозапуск со съемных носителей
SafeBootWinXP.reg - восстанавливает запуск в безопасном режиме (Safe Boot)

В обоих случаях нажмите Да для подтверждения добавления информации в реестр

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Подготовьте лог RSIT:
Скачайте RSIT или c зеркала. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

seman 12-10-2010 19:54 1517347
Fedin,
логи

zirreX 12-10-2010 20:24 1517378
Вы сегодня устанавливали драйвера ATI?

zirreX 12-10-2010 20:42 1517391
Рекомендации выполнили? SalityKiller запускали?

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\003019_.tmp','');
QuarantineFile('C:\WINDOWS\system32\97efff.exe','');
QuarantineFile('C:\WINDOWS\system32\wmicvrts.exe','');                               
DeleteFile('C:\WINDOWS\system32\wmicvrts.exe');                                       
DeleteFile('C:\WINDOWS\system32\97efff.exe');
RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\SafeBoot\network\{1a3e09be-1e45-494b-9174-d7385b45bbf5');                             
RegKeyParamDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg','Microsoft(R) System Manager');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин. Отправьте c:\quarantine.zip на адрес quarantine@virusnet.info, в названии темы укажите – "Проверка карантина". В теле сообщения укажите адрес своей темы на форуме. Результаты ответа сообщите здесь, в теме.

seman 12-10-2010 21:27 1517435
Fedin,
Цитата:
Цитата Fedin
Вы сегодня устанавливали драйвера ATI? »
нет. драва не ставил. все рекомендации выше выполнил.

Fedin,
C:\DOCUME~1\86C2~1\LOCALS~1\Temp\RtkBtMnt.exe

здесь по-прежнему появляется этот файл

отправил на virustotal - все чисто

zirreX 12-10-2010 22:13 1517475
Цитата:
Цитата seman
C:\DOCUME~1\86C2~1\LOCALS~1\Temp\RtkBtMnt.exe
здесь по-прежнему появляется этот файл
отправил на virustotal - все чисто »
Ничего страшного, он от Realtek.

Что с проблемами?Как работает система?

zirreX 13-10-2010 00:13 1517562
Каким из этих антивирусов пользуетесь?Удалите ненужный.
Код:
avast! Antivirus
Symantec AntiVirus Corporate Edition
Обновите Adobe Reader до 9-й версии

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

seman 13-10-2010 09:03 1517683
Fedin,
Цитата:
Цитата Fedin
Что с проблемами?Как работает система? »
все хорошо.

Цитата:
Цитата Fedin
Каким из этих антивирусов пользуетесь?Удалите ненужный. »
пользуюсь avast! Antivirus. symantec не удается убрать.
пробовал через консоль удаление, прерывается и закрывается.
убрал все ключи в реестре связанных с этой прогой, запустил symantec uninstall, вроде бы проработала удалила якобы все службы, но по логам видно остатки все таки.

Цитата:
Цитата Fedin
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. »
все чисто, ничего не нашел

zirreX 13-10-2010 11:37 1517794
Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли.

Создайте новую контрольную точку восстановления и удалите зараженную:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно - Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.



Для предотвращения заражения рекомендую вам придерживаться этих правил:
1.Не работайте с правами администратора
2.Используйте браузер Firefox с дополнением NoScript
Если вы используете браузер Internet Explorer, отключите в нем ActiveX (Сервис -> свойства обозревателя -> безопасность -> другой -> запуск элементов ActiveX и модулей подключения
3.Устанавливайте все важные обновления Windows.
4.Ежедневно обновляйте антивирусные базы.


Время: 19:29.

Время: 19:29.
© OSzone.net 2001-