|
Все три машины в сети заражены одной и той же нечестью - нужна помощь
ОС: win7 ult. сносить ось на данный момент не имею возможности, да и зараза судя по всему не только на системном диске но на "архивном".
Стоял n-ое время Outpost Security Suite. Как то раз заметил появление левых xxx.rar и xxx.exe/.bat/.scr в каждой из папок системы. Все это дело запустил - не было времени и теперь оно на всех трех машинах. Удалил оутпост, проверил др.вебом и поставил касперского - теперь ежесуточно вычищается по 3-4 тыщи зараженных объектов... Почистил утилитой ATF Cleaner. Не смог запустить безопасный режим: при загрузке долго думая на win\system32\drivers\classpnp.sys ПК ушел в ребут. Выполнил 3 и 2 скрипты в AVZ. "Доктор - выпиши таблетку..." (с) |
moonis, Привет. :)
• HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis Код:
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится. Код:
beginКод:
begin , в названии темы укажите - "Проверка карантина". В теле сообщения укажите адрес своей темы на форуме. Результаты ответа, сообщите здесь, в теме.Повторите логи |
пофиксил, скрипты выполнил, письмо написал - пока не ответили...
Логи после проделанного: |
• Выполните скрипт AVZ
Перед выполнением скрипта отключитесь от сети и отключите защитное ПО (антивирус, файрволл)! AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". Код:
beginПосле перезагрузки выполните такой скрипт AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". Код:
beginПовторите логи AVZ + подготовьте лог RSIT Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. |
Вложений: 2
Fedin,
скрипт всетаки выполнил, Отослал через предложенную вам форму сегодняшний quarantine.zip и virusinfo_cure.zip. Логи от AVZ, RSIT и Malwarebytes' Anti-Malware: фух... 4000+ |
Ждём. :)
|
Malwarebytes' Anti-Malware почикал все 4357 нечистых Trojan.Chydo файла, но после ребута все ребята на месте как ни в чем не бывало :biggrin:
З.ы. там в архивах фотка ранеток... поди сестренка любимая ченить нацепляла... фанатка хренова( |
Цитата:
C:\1,1) b957z6h4.exe - это что у вас?Не cureit случайно? Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Подробнее в "ComboFix. Руководство по применению." |
Вложений: 1
Цитата:
Прогнал еще раз Malwarebytes' Anti-Malware - Зараженные файлы: 488. Зайти в безопасный так и не удалось (хотя теперь ребутнулся уже на экране приветствия :) ) - проверяю вэбом так... ... cureit промолчал логи ComboFix прилагаю. Утилита малёх поворотила систему, а назад не вернула(: появились $RECYCLE.BIN, Boot, MSOCache, Config.Msi и т.п. |
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll:: Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению. |
Вложений: 1
сделано.
... кстати в корне D висят khx, khy, onkxhm.exe, xerfoj5 |
Скачайте Dr.Web LiveCD, запишите на болванку.
Загрузитесь с этого диска (в BIOS выставить загрузку с CD-DVD) и проверьте все локальные и съёмные диски! После чего сделайте лог ComboFix + просканируйте MBAM. |
Цитата:
|
thyrex,
мне бы с одним справится для начала...)отключил сетевое обнаружение и сетевые диски - сойдет? |
Fedin,
загрузился с вэба: а он не видит жесткие диски - у меня они в массиве стоят( Пишет: sda2:isw_raid_member sdb:isw_raid_member запуска - через пару секунд проверка завершается... нажимаю add - пишет could not mount sdb mount; unknown filesystem type "isw_raid_member" |
Ясно, давайте сделаем так:
Из под системы просканируйте все локальные диски Dr.Web CureIt в режиме усиленной защиты |
Вложений: 2
Fedin,
CureIt промолчал |
Удалите всё что нашел MBAM
Скачайте AVP Tool, загрузитесь в безопасном режиме и проверьте все локальные и съёмные диски. Повторно просканируйте компьютер MBAM, лог прикрепите. |
Вложений: 1
Попытался восстановить запуск системы в БР через дистрибутив и через скрипт а AVZ - четно.
Проверил AVP так: (событий: 82645, объектов: 1651451, время: 08:18:58)....... Запустил с hiren's miniXP: прогнал вэбом - по нулям. Логи MBAM прилагаю Логи AVP http://files.mail.ru/D5EP5C |
Не все части прикрепили.
|
Добавьте недостающий том AVP Tool.part004.rar
Отключите автозапуск со всех устройств, кроме CD-DVD привода, для этого выполните скрипт в AVZ AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". Код:
begin |
Вложений: 1
Fedin,
не было 4ого архива я на три разбивал)... ссылка на фалообменник в пр.посту. проверил MBAM - по нулям |
После сканирования AVP Tool удалили все зараженные файлы?
Автозапуск отключили скриптом? Сделайте контрольные логи AVZ и RSIT Проблемы еще есть? |
Вложений: 1
Цитата:
за сегодня вроде признаков заражения не наблюдал логи прилагаю |
• Выполните скрипт AVZ
Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл) AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". Код:
beginПосле перезагрузки выполните такой скрипт AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". Код:
beginПовторите лог AVZ, но только стандартный скрипт №2 Безопасный режим работает? |
Fedin,
первый скрипт выполнил, карантин запаковал, но он весит 40 мб - форма дооолго думает... принимать его походу отказывается... да и уже 3 раза отправлял чего то никто не отписывается по этому поводу... или это как то по другому работает? :unsure: щас попробую в БР зайти... лог прилагаю. |
Лог чистый, проблем больше не вижу.
Цитата:
Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"  Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up Создайте новую контрольную точку восстановления и удалите зараженную: 1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно - Восстановление системы нажмите Очистить 2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли. |
все штоле?) :drug:
Спасибо огромное человеческое!!!! Посоветуйте по защите: стоял когда то nod (отказался), потом перешел на outpost пир нем то и все произошло и последний мой выбор пал на касперского - и все молчали как проклятые?!... ... ну ниче еще 2 станции чистить... ладно один нэтбук хотя бы: второй ББ снесу нафиг все равно там ось загажена в конец... кстати зараза походу оттуда и пришла. В БР так и не загружается: раньше вис и ребутился на win\system32\drivers\classpnp.sys щас classpnp.sys загружается, но следом за ним теперь(по мойму как раз после того как выполнил скрипт на восстановление загрузки БР в AVZ) появилось нечто win\system32\drivers\92765402.sys который загружается с некоторой задержкой, но на "добро пожаловать" уходим в ребут. |
Значит с Safe Mode проблем нет?
Цитата:
Для предотвращения заражения рекомендую вам придерживаться этих правил: 1.Всегда работайте только под обычным пользователем! 2.Используйте браузер Firefox с дополнением NoScript Если вы используете браузер Internet Explorer, отключите в нем ActiveX (Сервис -> свойства обозревателя -> безопасность -> другой -> запуск элементов ActiveX и модулей подключения 3.Устанавливайте обновления и патчи Windows. 4.Ежедневно обновляйте антивирусные базы. 5.Никогда не устанавливайте два антивируса или сетевых экрана (файрвол). Помимо антивируса, проверяйте систему на присутствие вредоносных программ утилитой Dr.Web Cureit |
Fedin,
по FAQ сообразил: извиняюсь - непоглазам было... нет Safe Mode- не грузится: редактировал пред.пост... и еще: после применения combofix вылезли системные папки в корнях дисков (Boot, MSOCache, Recovery, ProgramData и тп ) - просто скрыть? |
Цитата:
появилось нечто win\system32\drivers\92765402.sys - драйвер AVP Tool Деинталлируйте AVP Tool После этого пробуйте грузиться |
Fedin,
хмм... а как?!) када закрывал AVP он предлагал деинсталировать себя, что я и сделал... щас повторно установлил/ удалил но драйвер остался... тут их аж 3... это подя я чет наустанавливал: \Windows\System32\drivers\ 9279540.sys 92795401.sys 92795402.sys Попробовал удалять файлы в ручную: таже ситуация - ребут на экране приветствия, вернул файлы обратно |
• Выполните скрипт AVZ
AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". Код:
begin |
Fedin,
не загружается - ребут на экране приветствия, |
пуск -- выполнить -- regedit
Экспортируйте эту ветку реестра и прикрепите к сообщению. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot |
Вложений: 1
Цитата:
|
Подготовьте пожалуйста лог ComboFix, возможно что-то осталось.
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Подробнее в "ComboFix. Руководство по применению." |
Вложений: 1
лог ComboFix
|
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению. Также сделайте проверку MBAM |
Вложений: 2
выполнил
|
Запакуйте папку C:\Qoobox\Quarantine\ с паролем virus и отправьте при помощи формы http://www.oszone.net/virusnet/
Попробуйте загрузиться в безопасном режиме. Если не получится загрузиться, проделайте это. 1)Определим причину возникновения ошибки, включим запись малого дампа памяти. Компьютер -- Свойства -- Дополнительные параметры системы -- Загрузка и восстановление -- Параметры, убрать галочку с "Выполнить автоматическую перезагрузку". Там же в Запись отладочной информации выберите Малый дамп памяти -- ok После очередной неудачной попытки загрузиться в Safe Mode, файл дампа будет сохранен в папке указанной в поле Файл дампа памяти Загружаетесь в обычном режиме, в папке C:\Windows\Minidump должен быть файл Mini120210-01.dmp, запакуйте и прикрепите к сообщению. 2)Проверьте целостность системных файлов. Запустите командую строку от имени администратора, введите sfc /scannow |
Файл карантина весит 50 мб - не пинимает форма.
вай...он cureit запихал в карантин щас удалю и отошлю пытаюсь изменить настройки Цитата:
проверку сделал: в корне C появилось inetpub\custerr\ru-RU\500-100.asp |
Цитата:
При выборе загрузки в безопасном режиме отключите автоматическую перезагрузку при отказе системы. После возникновении ошибки при загрузке в Safe Mode появится синий экран, запишите код ошибки и приведите его в сообщении. Последний дамп файл прикрепите. |
Вложений: 2
изменить настройки с этих на те что вы привели в пред. сообщении я не могу - не сохраняются изменения, в т.ч. и убрать автоматическую перезагрузку при отказе системы.
выбор "отключить автоматическую перезагрузку" при загрузке ОС через F8 тоже не дает результатов: синий экран не появляется, дамп не сохраняется. Сегодня опять появились признаки заражения: архивы и exe по всему диску D. Последний дамп что имеется прикрепляю. |
Цитата:
Цитата:
|
Вложений: 1
Fedin,
всеравно уходит в ребут не показывая bsod причем как при Код:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl]Код:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl]проверил AVP лог ComboFix прилагаю |
Отключите восстановление системы!
- нажмите кнопку Пуск - нажмите правой кнопкой мыши на пункте меню Компьютер - в контекстном меню выберите пункт Свойства - в левой части окна Система выберите пункт меню Защита системы - в окне Свойства системы перейдите на закладку Защита системы - в блоке Параметры защиты нажмите на кнопку Настроить - в окне Защита системы для... отметьте пункт Отключить систему защиты - нажмите кнопку ОК - в окне подтверждения Защита системы нажмите кнопку Да - для завершения отключения возможности восстановления системы в окне Свойства системы нажмите кнопку ОК - перезагрузите компьютер Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол. Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора) временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C) Код:
:ProcessesКомпьютер перезагрузится. После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение. |
Вложений: 1
сделал
|
Зловредов больше не вижу.
Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall(Обязательно должен быть пробел между combofix и /u), нажмите кнопку "ОК" Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up Попробуйте еще раз восстановить безопасный режим скриптом AVZ • Выполните скрипт AVZ Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл) AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". Код:
beginВ командной строке введите Код:
chkdsk /fСкопируйте текст ниже в текстовой файл и сохраните с расширением .reg, затем запустите и согласитесь с внесением информации в реестр. Код:
Windows Registry Editor Version 5.00 |
всеравно уходит в авторебут....
Цитата:
Цитата:
А сегодня столкнулся и с очень неудобным явлением: черт меня дернул изменить тип учетной записи - с администратора на обычный, изменить получилось а вот обратно фиг - те же симптомы нажимаешь "ок", а изменения не сохраняются и так по всем системным настройкам включая манипуляции с восстановлением системный и тп... пришлось загружаться с болванки и откатывать состояние на 2ое суток назад... походу все же придется сносить ОС... в таком случае как подстраховаться чтобы зверья не было на "storage" диске с доками, фильмами и прочим фуфлом? |
moonis, не стоит переустанавливать ОС, обратитесь в раздел Устранение критических ошибок Windows, там вам ответят.
|
zirreX,
Кстати при изменении через реестр галочка "автоперезагрузка" снялась и по идее она отключена...  |
Цитата:
|
Цитата:
|
После отката на 2 дня назад настройки не сохраняются?
|
zirreX,
не сохраняются |
Все изменения проводили из под учетной записи администратора?
|
zirreX,
так точно |
Создайте новую учетную запись с правами администратора.
Войдите в систему из под новой учетной записи. Проверьте, изменения сохраняются? |
через учетные записи пользователей изменения не сохраняются: не создаются записи, не изменяется тип записи
через управление компьютером создал учетную запись, добавил членство в группе "администраторы", но под ней изменения также не сохраняются... |
Отключите Acronis Try&Decide, настройки должны сохранятся.
|
удалил Acronis - не помогло...
|
Логи AVZ и RSIT сделайте
|
Вложений: 1
Логи AVZ и RSIT
|
Пофиксите в hijackthis указанные ниже строки
Как пофиксить в hijackthis Код:
R3 - URLSearchHook: - - - (no file)Для решения вашей проблемы обратитесь в раздел Windows 7 |
zirreX,
понятно - спасибо! по ноуту отдельно тему создавать? |
Цитата:
|
| Время: 12:54. |
Время: 12:54.
© OSzone.net 2001-