Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] вредная программа "ero" (http://forum.oszone.net/showthread.php?t=188935)

alexim 21-10-2010 09:32 1523758
вредная программа "ero"
 
Загрузила из нета архив, который потом невозможно было удалить ("нет доступа"). Я проверила с помощью Unlocker, блокирующий дескриптор не был найден, но я нажала "удалить", на что прога ответила, что файл будет удален при следующем запуске системы. Теперь при каждом запуске вылазит окошечко программы "Ero", и у меня внизу монитора ходят девушки.
Ни в панели управления нет, ни в автозагрузке. Как это можно удалить?

iskander-k 21-10-2010 13:02 1523927
Выложите логи в соответствии с этими инструкциями.

alexim 22-10-2010 12:13 1524705
Название: avptool_sysinfo.zip
Размер: 34.29 кб
Доступен до: 2010-11-21 11:10:36
Описание: архив

Ссылка для скачивания файла: http://ifolder.ru/19891654

Название: hijackthis.log
Размер: 13.12 кб
Доступен до: 2010-11-21 11:13:18
Описание: лог-файл

Ссылка для скачивания файла: http://ifolder.ru/19891722

Вот упакованный лог hjack
Название: hjacklog.zip
Размер: 4.16 кб
Доступен до: 2010-11-21 11:20:56
Описание: архив

Ссылка для скачивания файла: http://ifolder.ru/19891863

iskander-k 22-10-2010 13:34 1524768
Логи присоедините к сообщению. Совершенно нет желания подбирать капчу , ждать и смотреть их рекламу. Логи АВЗ нужны.

alexim 22-10-2010 14:53 1524829
вот архивы

zirreX 22-10-2010 15:41 1524878
Пофиксить в hijackthis
Выставить галочки напротив указанных строк и нажать Fix Checked
Код:
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
O4 - HKCU\..\Run: [PCHDPlayer] C:\Program Files\pchd\PCHDPlayer.exe
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
Вы добавили этот сайт в "надежные узлы"?Если нет пофиксите
Код:
O15 - Trusted Zone: http://software.kuaiche.com
Ваши IP?Если нет пофиксите:
Код:
O17 - HKLM\System\CCS\Services\Tcpip\..\{4A5A6502-8DE7-41BD-8223-751D82723FBF}: NameServer = 192.168.1.1,195.5.51.178
O17 - HKLM\System\CCS\Services\Tcpip\..\{6AB3D761-6585-41DA-A79F-DA42F187E0A0}: NameServer = 213.179.249.131 213.179.249.132
O17 - HKLM\System\CCS\Services\Tcpip\..\{87163588-2510-4E78-926F-C4CA5A4E4614}: NameServer = 192.168.1.1,195.5.51.178

#Скрипт АВЗ

Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл)


AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\program files\pchd\pchdplayer.exe');
QuarantineFile('c:\program files\pchd\pchdplayer.exe','');
DeleteFile('c:\program files\pchd\pchdplayer.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PCHDPlayer');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('protect');
BC_Activate;
ExecuteRepair(1);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин. Отправьте c:\quarantine.zip на адрес quarantine@virusnet.info, в названии темы укажите – Ссылку на вашу тему.Результаты ответа сообщите здесь, в теме.

Повторите логи


Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

alexim 22-10-2010 18:32 1524968
повторяю логи

zirreX 22-10-2010 19:07 1524988
Чисто.

Код:
>>  Нарушение ассоциации REG-файлов
Исправьте через AVZ -> меню "Файл" -> Мастер поиска и устранения проблем -> отметьте
Нарушение ассоциации REG-файлов и нажмите исправить



Установите Internet Explorer 8 и Service Pack 3 для Windows XP

Сканировали Malwarebytes' Anti-Malware?Прикрепите лог.

Что с проблемой?

alexim 22-10-2010 19:24 1524998
Вот лог Malwarebytes' Anti-Malware.
Программа куда-то исчезла, кажется, после Fix checked в АВЗ, при загрузке больше не открывается.
Еще ваши последние рекомендации сделаю.

alexim 22-10-2010 19:36 1525005
Программа высветилась в списке программ, и я удалила ее. Ура!!!))) В папке локальный диск С была папка pchd - вот это оно и было.

А можно (нужно ли?) поудалять все что Malwarebytes' Anti-Malware нашел?

zirreX 22-10-2010 20:07 1525034
Цитата:
Цитата alexim
Программа высветилась в списке программ, и я удалила ее. Ура!!!))) В папке локальный диск С была папка pchd - вот это оно и было. »
Да, это она. c:\program files\pchd\pchdplayer.exe

В MBAM удалите всё, кроме

Код:
Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
Подготовьте новый лог MBAM
Установите Internet Explorer 8 и Service Pack 3 для Windows XP

alexim 22-10-2010 22:18 1525133
Лог МВАМ

zirreX 22-10-2010 22:50 1525160
В логах ничего подозрительного не наблюдаю. Проблема решена?

Смените важные пароли!

Создайте новую контрольную точку восстановления и удалите зараженную:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно - Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли.


Установите Internet Explorer 8 и Service Pack 3 для Windows XP



Для предотвращения заражения рекомендую вам придерживаться этих правил:
1.Не работайте с правами администратора
2.Используйте браузер Firefox с дополнением NoScript
Если вы используете браузер Internet Explorer, отключите в нем ActiveX (Сервис -> свойства обозревателя -> безопасность -> другой -> запуск элементов ActiveX и модулей подключения
3.Устанавливайте все важные обновления Windows.
4.Ежедневно обновляйте антивирусные базы.

alexim 22-10-2010 23:02 1525179
Да, проблему решили.
Насчет программ ясно.
Спасибо большое вам и вашим коллегам за помощь!

zirreX 22-10-2010 23:15 1525186
Пожалуйста, если что обращайтесь - всегда поможем.
Удачи!


Время: 22:33.

Время: 22:33.
© OSzone.net 2001-