Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Тотальное вирусное заражение. (http://forum.oszone.net/showthread.php?t=191146)

Bestig1 13-11-2010 22:27 1542112
Тотальное вирусное заражение.
 
Доброго времени суток.
На момент написания этого сообщения, мой компьютер полностью подвластен вирусу.
Собственно говоря симптомы таковы:
-Не открываются сайты не 1ого антивируса
-Не открываюся многие другие сайты ( сегодня дошло до того, что даже ответы гугл.ру не открывает, многие сайты со статьями по лечению также недоступны)
-Вирус пресекает ВСЕ попытки скачать какой-либо софт для лечения ( я просто напросто не могу скачать ни AVZ ни HjackThis)
-Антивирус (nod32) и утилита от CureIt не могут найти каких-либо инфекций ( проверялось быстрой проверкой, полную выполню ночью).

История заражения:
Пару дней назад начал замечать что с моим компьютером что-то не так, не обратил внимание
Вчера вечером увидел что не заходит на сайты антивирусов, начал судорожно проводить лечение, порылся в интернете( вчера, к слову, ситуация была ГОРАЗДО лучше). Нашёл статью, по которой скачал 3 заплатки для Windows XP SP3 ( WindowsXP-KB958644-x86-RUS.exe, WindowsXP-KB958687-x86-RUS.exe, WindowsXP-KB957097-x86-RUS.exe), почистил реестр в локации TCP\IP (очистил список запрещённых ип), и сделал проверку CureIT за 12.11.10, в ходе проверке он нашёл ~4 вируса, которые удалил. После перезагрузки симпотмы исчезли, и я с чистой совестью ушёл спать. Сегодня днём вирус не проявлялся, к вечеру я с ужасом осознал, что вирус до сих пор со мной, и при этом проблемы стали гораздо масштабнее ( изменения со вчера: вчерашнее лечение не помогает, стали также не доступны многие сайты со статьями, nod32 включился, но не может обновится, и вирус не видит. Быстрая проверка на nod32 и CureIt не дала результатов ( оба ничего не увидели ).
Главная проблема заключается в том, что я не могу даже скачать AVZ и HjackThis для диагностки системы.
Очень нужна помощь.

Update:
снёс процесс explorer.exe, смог скачать AVZ (полиморфная) и HjackThis. Включил эксплорер обратно, с включенным ни AVZ ни HjackThis не включается.

Drongo 13-11-2010 23:15 1542156
Попробуйте запустить AVZ с ключом am=y. Нажать Пуск -> Выполнить, в обзоре найти AVZ нажать ОК далее, пробел скопировать\вставить am=y - Enter. Плюс сделайте лог http://www.virusnet.info/random/RSIT.exe]RSIT[/url]

Если не поможет, то скачайте на заведомо чистом от вирусов компьютере один из предоставленых загрузочных дисков Dr.Web LiveCD, Лаборатории Касперского, Live CD Vba32 Rescue, Avira GmbH, запишите образ на CD-диск, загрузитесь с него и проверьте компьютер из-под выбраного LiveCD

Bestig1 13-11-2010 23:44 1542190
Вложений: 1
Вот удалось сделать логи, но эти логи были сделаны с ЗАКРЫТЫМ ПРОЦЕССОМ EXLPORER.EXE

+ при 1ой перезагрузке не сменил название папки LOG, которую вирус успешно удалил. Пришлось даже её название менять, дабы соохранить лог в безопасности.

Нужно ли теперь пробывать сделать логи с AVZ с параметром am=y?

Bestig1 14-11-2010 00:27 1542209
Вложений: 1
Удалось запустить AVZ с ключом am=y.

Вот логи проверок при включенном процессе explorer.exe:


p.s. лог RSIT был составлен при выключенном explorer.exe

Drongo 14-11-2010 00:30 1542211
Bestig1, Ещё раз доброй ночи. :)

Временно отключите восстановление системы.

Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\system32\pqylews.exe','');
 QuarantineFile('C:\WINDOWS\system32\zkjvdny.exe','');
 DeleteFile('C:\WINDOWS\system32\zkjvdny.exe');
 DeleteFile('c:\windows\system32\pqylews.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','FileSystem');
 RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(20);
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте при помощи этой формы, в названии темы укажите - "Проверка карантина". В теле сообщения укажите адрес своей темы на форуме. Результаты ответа, сообщите здесь, в теме.

Повторите логи предварительно обновив базы. Что с проблемой после выполнения скрипта?

Bestig1 14-11-2010 10:52 1542329
Вложений: 1
Отключил восстановление системы, затем выполнил оба скрипта.
Форму заполнил и отправил.

в AVZ кнопка файл-->Обновление баз серая ( недоступна)
ещё раз сделал логи при помощи AVZ и RSIT.exe ( прикреплены к посту)

В целом, после выполнения скрипта, признаков вируса на компьютере НЕ наблюдается.

Хотел бы выразить огромную благодарность г-ну Drongo


И также, хочу спросить: что сделать, чтобы максимально повысить безопасность родного компьютера? ( отключить автозапуски\сделать пользователя без админ прав\какой антивирус поставить и тп)
и также, что делать с восстановлением системы? ( на данный момент оно отключено).

Drongo 14-11-2010 20:11 1542637
Цитата:
Цитата Bestig1
И также, хочу спросить: что сделать, чтобы максимально повысить безопасность родного компьютера? »
Если хотите отключить автозапуск, выполните такой скрипт. Он отключит автозапуск со всех устройств кроме CD\DVD-приводов
Код:
begin
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
end.
Цитата:
Цитата Bestig1
сделать пользователя без админ прав »
Само собой создать пользовательскую учётную запись и работать из-под пользовательской учётки. Здесь вы найдёте много полезного для безопасности Windows XP или безопасность Windows 7
Цитата:
Цитата Bestig1
какой антивирус поставить и тп »
Ни одно из антивирусных средств не является средством упреждения, пока в их базе не будет необходимых записей идентификации вредоносов, поэтому каким антивирусом пользоваться, решать вам или составлять мнение на основе опроса - Каким антивирусом вы предпочитаете пользоваться и почему?

Раз в неделю можете проверять систему, утилитой CureIT или Kaspersky Virus Removal Tool
Цитата:
Цитата Bestig1
в AVZ кнопка файл-->Обновление баз серая ( недоступна) »
Вы используете полиморфную версию, скачайте обычную - AVZ - обновите базы и повторите логи.

Цитата:
Цитата Bestig1
и также, что делать с восстановлением системы? ( на данный момент оно отключено). »
Включите его и создайте контрольную точку восстановления. :)

Bestig1 16-11-2010 22:43 1544338
Всё вышеописанное выполнил, спасибо
Ещё хотел бы узнать - после лечения nod начал выдавать ошибку "Ошибка распаковки файлов" - в чём проблема?

Drongo 17-11-2010 12:43 1544700
Цитата:
Цитата Bestig1
после лечения nod начал выдавать ошибку "Ошибка распаковки файлов" - в чём проблема? »
Без понятия, но задайте вопрос в ветке - ESET NOD32/ESET Smart Security.

Не удаляйте пока архивы логов, хорошо? :)

Bestig1 17-11-2010 13:44 1544760
Архивы прикреплены к теме, удалять не собираюсь)
Ещё раз Спасибо за помощь, пометил тему как решённую.


Время: 11:38.

Время: 11:38.
© OSzone.net 2001-