Устранение последствий после вируса - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - Устранение последствий после вируса (http://forum.oszone.net/showthread.php?t=198059)

Устранение последствий после вируса

Подхватил вирус который мне не плохо подпортил систему. Переустановить систему то не сложно но нету возможности. и так вот что замечено после вируса:
1. отключился контроль администратора (Раньше программы запрашивали разрешение на запук у администратора, меня)
2. Полностью испортились стандартные гаджеты (Часы, погода и т.д.)
3. Перестал работать Windows Media Player

пока что все что заметил. Подскажите пожалуста как можно это все исправить без переустановки системы?

Для начала в командной строке с правами администратора выполните:

Код:

sfc /scannow

Заполните сведения о конфигурации компьютера

И еще, пожалуйста, выполните рекомендации и представьте логи, согласно правил запроса о помощи.

NevO, слишком много вопросов для одной темы, каша получится.
1. Пуск ---> Панель управления ---> Учетные записи пользователей ---> Изменение параметров контроля учетных записей.
2. Проблемы с гаджетами Windows 7 (4.1)
3. Ошибки или что?

Разумеется, всё это после лечения в соответствующем форуме, иначе смысла нет.

Цитата:

Цитата okshef

Для начала в командной строке с правами администратора выполните:
Код:
sfc /scannow
Заполните сведения о конфигурации компьютера
И еще, пожалуйста, выполните рекомендации и представьте логи, согласно правил запроса о помощи. »

Сканирование поставил, конфигурацию заполнил. Логи будут когда все проверится.

Цитата:

Цитата Morpheus

3. Ошибки или что? »

если просто запустить(со значка на панельке быстрого доступа) - то просто не открывается, без всяких ошибок. Если открыть любой звуковой файл то вылаит "ошибка при выполнении приложения-сервера"

Скрин можно заменить логами :)

Логи по гайду еще не делал.

AVZ не работает как надо. Драйвер не устанавливает, после начала выполнения скрипта закрывается. Что делать?

NevO, cскачайте эту версию AVZ . Запускать ярлык 11.ехе

http://narod.ru/disk/4828337001/%D0%...D0%B8.rar.html
вот долгожданные логи

NevO, AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin

 ExecuteRepair(1);

RebootWindows(true);

end.

После выполнения скрипта компьютер перезагрузится.

Пофиксить в HijackThis следующие строчки

Код:

O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)

Повторите логи, обновив базы

Код:

Внимание !!! База поcледний раз обновлялась 25.08.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

+

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Цитата:

Цитата goredey

Пофиксить в HijackThis следующие строчки
Код:
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file) »

как профиксить?)

Цитата:

Цитата goredey

Повторите логи, обновив базы
Код:
Внимание !!! База поcледний раз обновлялась 25.08.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз) »

обновить что именно?

NevO, обновить базы в АВЗ Можете ознакомиться здесь

Цитата:

Цитата goredey

O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file) »

вот это то как профиксить?

Цитата:

Цитата goredey

NevO, обновить базы в АВЗ Можете ознакомиться здесь »

Нажмите на слово ЗДЕСЬ в посте № 14

все нашол)

Выдает такую ошибку:

При том что Internet Explorer закрыт(им даже не пользуюсь) и все окна Windows Explorer закрыты (пробовал даже снимать процесс explorer.exe - не помогло)

Цитата:Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."

Код:

"mixer1"=wdmaud.drv



R1 uzi3mjg4;AVZ-RK Kernel Driver;c:\windows\system32\Drivers\uzi3mjg4.sys [x]

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]

R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]

R3 ASWFilt;ASWFilt;c:\windows\system32\Filt\ASWFilt64.dll [2010-11-26 51360]

R3 EverestDriver;Lavalys EVEREST Kernel Driver;g:\everest xp\EVEREST Ultimate\kerneld.amd64 [2009-09-05 26240]

R3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\DRIVERS\klmouflt.sys [2009-11-02 22544]

R3 nmwcdcx64;Nokia USB Generic;c:\windows\system32\drivers\ccdcmbox64.sys [2010-02-26 25088]

R3 nmwcdnsucx64;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsucx64.sys [2010-02-26 12288]

R3 nmwcdnsux64;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsux64.sys [2010-02-26 173056]

R3 nmwcdx64;Nokia USB Phone Parent;c:\windows\system32\drivers\ccdcmbx64.sys [2010-02-26 19456]

R3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2007-11-06 40464]

R3 PortTalk;PortTalk;c:\windows\system32\Drivers\PortTalk.sys [x]

R3 SwitchBoard;SwitchBoard;c:\program files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [2010-02-19 517096]

R3 WatAdminSvc;Служба технологий активации Windows;c:\windows\system32\Wat\WatAdminSvc.exe [2010-09-29 1255736]

R4 ABBYY.Licensing.FineReader.Professional.10.0;ABBYY FineReader 10 PE Licensing Service;c:\program files (x86)\Common Files\ABBYY\FineReader\10.00\Licensing\PE\NetworkLicenseServer.exe [2010-07-22 814344]

R4 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe [2009-07-14 27136]

S0 KLBG;Kaspersky Lab Boot Guard Driver;c:\windows\system32\DRIVERS\klbg.sys [2009-10-14 40464]

S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2010-10-09 834544]

S1 afw;Agnitum Firewall Driver;c:\windows\system32\DRIVERS\afw.sys [2010-04-20 39528]

S1 AsUpIO;AsUpIO;SysWow64\drivers\AsUpIO.sys [x]

S1 kl2;kl2;c:\windows\system32\DRIVERS\kl2.sys [2010-06-09 11864]

S1 KLIM6;Kaspersky Anti-Virus NDIS 6 Filter;c:\windows\system32\DRIVERS\klim6.sys [2010-04-22 27736]

S1 SandBox;SandBox;c:\windows\system32\drivers\SandBox64.sys [2010-11-26 1099352]

S2 acssrv;Agnitum Client Security Service;c:\progra~1\Agnitum\OUTPOS~1\acs.exe [2010-12-09 3452792]

S2 AsSysCtrlService;ASUS System Control Service;c:\program files (x86)\ASUS\AsSysCtrlService\1.00.02\AsSysCtrlService.exe [2009-08-19 90112]

S2 DvmMDES;DeviceVM Meta Data Export Service;c:\asus.sys\config\DVMExportService.exe [2009-02-18 294912]

S2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2010-07-09 248936]

S2 vmci;VMware vmci;c:\windows\system32\drivers\vmci.sys [2010-09-20 80944]

S2 VMUSBArbService;VMware USB Arbitration Service;c:\program files (x86)\Common Files\VMware\USB\vmware-usbarbitrator.exe [2010-09-20 539184]

S3 afwcore;afwcore;c:\windows\system32\drivers\afwcore.sys [2010-09-27 424040]

S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [2010-06-23 344680]

S3 ScreamBAudioSvc;ScreamBee Audio;c:\windows\system32\drivers\ScreamingBAudio64.sys [2009-03-27 27160]





[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\svchost]

Akamai        REG_MULTI_SZ           Akamai

.

Contents of the 'Scheduled Tasks' folder



2011-02-02 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3771569385-636237519-2417232349-1000Core.job

- c:\users\NevO\AppData\Local\Google\Update\GoogleUpdate.exe [2010-11-06 11:00]



2011-02-03 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3771569385-636237519-2417232349-1000UA.job

- c:\users\NevO\AppData\Local\Google\Update\GoogleUpdate.exe [2010-11-06 11:00]

.



--------- x86-64 -----------





[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\Outpost]

@="{33C9E362-3EDA-4930-8AFE-5DA39A8BB77A}"

[HKEY_CLASSES_ROOT\CLSID\{33C9E362-3EDA-4930-8AFE-5DA39A8BB77A}]

2010-12-09 10:08        348144        ----a-w-        c:\program files\Agnitum\Outpost Firewall Pro\op_shell.dll



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2009-05-22 7833120]

"Skytel"="c:\program files\Realtek\Audio\HDA\Skytel.exe" [2009-05-22 1833504]

"OutpostMonitor"="c:\progra~1\Agnitum\OUTPOS~1\op_mon.exe" [2010-12-09 4262336]

"OutpostFeedBack"="c:\program files\Agnitum\Outpost Firewall Pro\feedback.exe" [2010-12-09 769896]



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"LoadAppInit_DLLs"=0x1

"AppInit_DLLs"=c:\progra~1\Agnitum\OUTPOS~1\wl_hook64.dll

.

------- Supplementary Scan -------

.

uLocal Page = c:\windows\system32\blank.htm

uStart Page = hxxp://www.yandex.ru/?clid=165533

mLocal Page = c:\windows\SysWOW64\blank.htm

IE: &Экспорт в Microsoft Excel - c:\progra~2\MICROS~1\Office12\EXCEL.EXE/3000

IE: Закачать ВСЕ при помощи Download Master - c:\program files (x86)\Download Master\dmieall.htm

IE: Закачать при помощи Download Master - c:\program files (x86)\Download Master\dmie.htm

IE: Передать на удаленную закачку DM - c:\program files (x86)\Download Master\remdown.htm

IE: {{3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - c:\program files (x86)\WebMoney Advisor\tbcore3.dll

LSP: e:\vmware\vsocklib.dll

TCP: {BC1B0B89-E1ED-4D73-9C46-4896A96A78EC} = 192.168.1.1

FF - ProfilePath - c:\users\NevO\AppData\Roaming\Mozilla\Firefox\Profiles\t26neymd.default\

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: browser.startup.homepage - hxxp://mail.ru/

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files (x86)\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - Ext: Kaspersky URL Advisor: linkfilter@kaspersky.ru - c:\program files (x86)\Mozilla Firefox\extensions\linkfilter@kaspersky.ru

FF - Ext: РЇРЅРґРµРєСЃ.Р‘Р°СЂ: yasearch@yandex.ru - %profile%\extensions\yasearch@yandex.ru

FF - Ext: DownloadHelper: {b9db16a4-6edc-47ec-a1f4-b86292ed211d} - %profile%\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}

FF - Ext: Firefox Synchronisation Extension: {A27F3FEF-1113-4cfb-A032-8E12D7D8EE70} - c:\program files (x86)\Nokia\Nokia Ovi Suite\Connectors\Bookmarks Connector\FirefoxExtension

.

- - - - ORPHANS REMOVED - - - -



SafeBoot-zipdrivers

WebBrowser-{3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - (no file)

AddRemove-TeamSpeak 3 Client - e:\teamspeak 3 client\uninstall.exe





.

--------------------- LOCKED REGISTRY KEYS ---------------------



[HKEY_USERS\S-1-5-21-3771569385-636237519-2417232349-1000\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{DB4F4B01-28B3-F840-23C3-0B8021399F87}*]

"hampoibkacpllaep"=hex:6a,61,67,64,6a,6c,61,63,67,64,62,64,64,63,67,63,66,6b,

   70,6d,00,00

"iakbmijjpnakfkmfag"=hex:63,61,66,64,66,6a,00,00

"iagomkkhdfpicbfddo"=hex:6a,61,6c,61,6f,65,64,6e,6b,61,70,65,63,6f,65,64,66,6c,

   67,64,00,00



[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000



[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000



[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

Completion time: 2011-02-03  18:42:13

ComboFix-quarantined-files.txt  2011-02-03 15:42



Pre-Run: 28*808*736*768 байт свободно

Post-Run: 28*727*287*808 байт свободно



- - End Of File - - BA461601E864B1F43B146264B05F4C74

NevO, лог не полный! Антвирусное ПО, браузеры, firewall на момент работы Комбофикс были отключены? Если так то повторите логи.
А может вы не полностью скопировали лог? Не надо его копировать.Воспользуйтесь режимом вложения ну или залете на файлообменник. Как вы делали с логами АВЗ

Антивирус и Firewall были отключены. Лог скопирован полностью!

NevO, Цитата:Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::



RegLock::

[HKEY_USERS\S-1-5-21-3771569385-636237519-2417232349-1000\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{DB4F4B01-28B3-F840-23C3-0B8021399F87}*]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]

FileLook::

c:\windows\1C4551A64743409391E41477CD655043.TMP

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

все сделал однако в самом начале работы вылетела ошибка:

Ах да. чуть не забыл. вот лог

NevO, в последнем логе чисто. Вирусной активности я не вижу.

Деинсталлируйте ComboFix:нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"

Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

+

Создайте новую контрольную точку восстановления и удалите зараженную:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно - Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Скачайте ATF Cleaner , запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли.

Хм... Нажал отчистить точки восстановления но не прокатило. Создать новую точку тоже не могу:

NevO, комбофикс удалили?
Прочтите здесь

Да комбофикс удалил. Щас создаю точку.
goredey, Напишите пожалуйста в icq 109-106-320. будет удобнее.

NevO, я не пользуюсь аськой))

ну а скайп?
---
ПС. почему точка комбофикса то не удалялется?

Цитата:

Цитата NevO

почему точка комбофикса то не удалялется? »

Временно отключите восстановление системы , а потом снова включите

Цитата:

Цитата goredey

отключите восстановление системы »

как?)

все сделал. каков следующий шаг?

NevO, смогли удалить точку, созданную комбофиксом?

NevO, для контроля сделайте лог МВАМ

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в сообщение.

Код:

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org



Версия базы данных: 5701



Windows 6.1.7600 Service Pack 1

Internet Explorer 8.0.7600.16385



07.02.2011 14:52:50

mbam-log-2011-02-07 (14-52-40).txt



Тип сканирования: Полное сканирование (C:\|)

Просканированные объекты: 300518

Времени прошло: 1 часов, 14 минут, 56 секунд



Заражённые процессы в памяти: 0

Заражённые модули в памяти: 0

Заражённые ключи в реестре: 0

Заражённые параметры в реестре: 0

Объекты реестра заражены: 0

Заражённые папки: 0

Заражённые файлы: 2



Заражённые процессы в памяти:

(Вредоносных программ не обнаружено)



Заражённые модули в памяти:

(Вредоносных программ не обнаружено)



Заражённые ключи в реестре:

(Вредоносных программ не обнаружено)



Заражённые параметры в реестре:

(Вредоносных программ не обнаружено)



Объекты реестра заражены:

(Вредоносных программ не обнаружено)



Заражённые папки:

(Вредоносных программ не обнаружено)



Заражённые файлы:

c:\program files (x86)\screaming bee\morphvox pro\patch.exe (Trojan.Downloader) -> No action taken.

c:\Users\NevO\Desktop\perfect world\Читы\revo bot 3.0\soundtable.dll (Trojan.Banker) -> No action taken.

NevO, найденные файлы удалять не нужно. Вирусной активности нет, лечение можно завершить.