Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Вирус блокирует Диспетчер задач (http://forum.oszone.net/showthread.php?t=199153)

FlashMob 10-02-2011 19:20 1609577
Вирус блокирует Диспетчер задач
 
Вложений: 2
Добрый день!
Словил вирус который блокирует Диспетчер задач, Антивирус Касперского и офф.сайты антивирусов! Также блокирует WM Keeper, при запуске пишет: Error while unpacking program, code LP5. Please report to author.
Пытался скачать CureIt не дает!
Запускается полиморфный AVZ.
RSIT запустился. Сделал отчет им.

Farger 10-02-2011 19:48 1609605
Попробуйте запустить полиморфный AVZ http://gjf.hotbox.ru/svchost.pif

SolarSpark 10-02-2011 20:24 1609646
Если не запустится полиморфный AVZ: нажмите пуск - выполнить в обзоре найдите AVZ и выберете его, далее, в строке допишите или скопируйте/вставьте (через пробел) AM=Y и нажмите ок, дальше по инструкции, обновить базы, сделать логи, не сможете обновить - делайте логи пока так..

FlashMob 10-02-2011 20:54 1609669
полиморфный AVZ запустился, спасибо Farger
Дополнил первый пост.

Farger 10-02-2011 22:31 1609735
Сейчас проверю логи.

Farger 11-02-2011 00:07 1609802
У вас файловый вирус. Сначала пролечитесь, следуя этой инструкции: как лечить файловый вирусhttp://safezone.cc/forum/showthread.php?t=54

FlashMob 11-02-2011 15:18 1610315
Farger, спасибо за информацию. Сейчас буду пробовать лечиться CureIT!

FlashMob 11-02-2011 20:04 1610556
Итак, проверил DrWeb - CureIT! Вот статистика: http://i058.radikal.ru/1102/8e/499e5cd5835f.png
Но диспетчер все равно не открывается :not-me:

Katharsis 11-02-2011 20:16 1610567
А теперь повторите логи (avz, rsit).
Цитата:
Цитата FlashMob
Но диспетчер все равно не открывается »
Пуск - выполнить cmd в окно консоли вставте следующий текст:
Цитата:
REG DELETE HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /f
нажмите enter

Farger 11-02-2011 20:25 1610577
Цитата:
Цитата FlashMob
Но диспетчер все равно не открывается »
Не переживайте, исправим.

Теперь для пущей уверенности:

1. Запустите SalityKiller, инструкция здесьhttp://support.kaspersky.ru/viruses/solutions?print=true&qid=208636131
2. После этого запустите AVZ, сделайте скрипт №2 и №3+новый RSIT и прикрепите их в ваше следующее сообщение.

FlashMob 11-02-2011 20:37 1610587
Katharsis, спасибо большое! Диспетчер задач начал работать, но webmoney все равно не работает. :not-me:
Farger, у меня ссылка не открывается, вирус блочит сайты антивирусов.

Katharsis 11-02-2011 20:58 1610601
Hijackthis
RSIT
salitykiller
avz (базы нужно обновить!!!)

iskander-k 11-02-2011 21:37 1610632
Перед применением комбофикс обязательно сохраните ключи от webmoney в файл !!!

•Скачайте ComboFix или здесь или здесь и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Как использовать ComboFix
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe.

FlashMob 12-02-2011 10:59 1610894
Вложений: 2
Farger, проверил SalityKiller не помогло, Вебмани так и не запускается. Хотя вирусов Virus.Win32.Sality.ag было очень много.
Проверил AVZ, RSIT, лог прикрепляю

FlashMob 12-02-2011 11:37 1610914
Вложений: 1
iskander-k, сделал как вы и просили.

Farger 12-02-2011 15:50 1611050
Вложений: 1
Диск Е - это у Вас флешка или компактдиск?
Какие сейчас у вас проблемы кроме неработающего WebMoney?
Пожалуйста, проверьте на virustotalhttp://www.virustotal.com/ следующие файлы:

C:\Program Files\Удалить.exe
C:\WINDOWS\system32\appmgmts.dll
C:\WINDOWS\system32\drivers\ngoon.sys

и результаты анализа запостите здесь, в вашем следующем сообщении.

Скачайте прикрепленный к сообщению ATF Cleaner.rar на рабочий стол. Запустите ATF Cleaner, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли;
- если вы используете Opera, нажмите Opera - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли.

iskander-k 12-02-2011 18:54 1611207
Почему не весь лог ?

Вебмани переустанавливали ?

Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('D:\System Volume Information\_restore{3BD9A2CC-5338-450F-91D9-A0F0300A3D76}\RP256\A0079531.pif','');
 QuarantineFile('D:\tafa.exe','');
 QuarantineFile('C:\deqig.pif','');
 QuarantineFile('c:\documents and settings\никита\local settings\temp\00023b78_rar\svchost.pif','');
 QuarantineFile('c:\documents and settings\никита\local settings\temp\00147899_rar\svchost.pif','');
 QuarantineFile('c:\documents and settings\никита\local settings\temp\0015b83d_rar\svchost.pif','');
 QuarantineFile('c:\documents and settings\никита\local settings\temp\0015b85d_rar\svchost.pif','');
 QuarantineFile('c:\documents and settings\никита\local settings\temp\0015b89b_rar\svchost.pif','');
 QuarantineFile('c:\documents and settings\никита\local settings\temp\0015b8ca_rar\svchost.pif','');
 QuarantineFile('c:\documents and settings\никита\local settings\temp\0015b947_rar\svchost.pif','');
 QuarantineFile('c:\documents and settings\никита\local settings\temp\0015ba12_rar\svchost.pif','');
 QuarantineFile('c:\documents and settings\никита\local settings\temp\0015bb0c_rar\svchost.pif','');
 QuarantineFile('c:\documents and settings\никита\local settings\temp\0015bbe7_rar\svchost.pif','');
 QuarantineFile('c:\documents and settings\никита\local settings\temp\0015bd00_rar\svchost.pif','');
 QuarantineFile('c:\program files\steam\steamapps\common\mafia ii - public demo\pc\mafia2.exe.bak','');
 QuarantineFile('c:\system volume information\_restore{3bd9a2cc-5338-450f-91d9-a0f0300a3d76}\rp256\a0079533.pif','');
 QuarantineFile('c:\system volume information\_restore{3bd9a2cc-5338-450f-91d9-a0f0300a3d76}\rp256\a0079863.pif','');
 QuarantineFile('c:\system volume information\_restore{3bd9a2cc-5338-450f-91d9-a0f0300a3d76}\rp256\a0079998.pif','');
 QuarantineFile('c:\system volume information\_restore{3bd9a2cc-5338-450f-91d9-a0f0300a3d76}\rp256\a0080092.pif','');
 QuarantineFile('c:\system volume information\_restore{3bd9a2cc-5338-450f-91d9-a0f0300a3d76}\rp256\a0081124.pif','');
 QuarantineFile('c:\system volume information\_restore{3bd9a2cc-5338-450f-91d9-a0f0300a3d76}\rp256\a0081238.exe','');
 QuarantineFile('c:\system volume information\_restore{3bd9a2cc-5338-450f-91d9-a0f0300a3d76}\rp257\a0081824.exe','');
 QuarantineFile('c:\system volume information\_restore{3bd9a2cc-5338-450f-91d9-a0f0300a3d76}\rp257\a0081828.exe','');
 QuarantineFile('c:\system volume information\_restore{3bd9a2cc-5338-450f-91d9-a0f0300a3d76}\rp257\a0081835.exe','');
 QuarantineFile('c:\system volume information\_restore{3bd9a2cc-5338-450f-91d9-a0f0300a3d76}\rp257\a0082264.pif','');
 QuarantineFile('d:\system volume information\_restore{3bd9a2cc-5338-450f-91d9-a0f0300a3d76}\rp256\a0079531.pif','');
 QuarantineFile('c:\autorun.inf','');
 QuarantineFile('d:\autorun.inf','');
 DeleteFile('c:\autorun.inf');
 DeleteFile('d:\autorun.inf');
 DeleteFile('c:\documents and settings\никита\local settings\temp\00023b78_rar\svchost.pif');
 DeleteFile('c:\documents and settings\никита\local settings\temp\00147899_rar\svchost.pif');
 DeleteFile('c:\documents and settings\никита\local settings\temp\0015b83d_rar\svchost.pif');
 DeleteFile('c:\documents and settings\никита\local settings\temp\0015b85d_rar\svchost.pif');
 DeleteFile('c:\documents and settings\никита\local settings\temp\0015b89b_rar\svchost.pif');
 DeleteFile('c:\documents and settings\никита\local settings\temp\0015b8ca_rar\svchost.pif');
 DeleteFile('c:\documents and settings\никита\local settings\temp\0015b947_rar\svchost.pif');
 DeleteFile('c:\documents and settings\никита\local settings\temp\0015ba12_rar\svchost.pif');
 DeleteFile('c:\documents and settings\никита\local settings\temp\0015bb0c_rar\svchost.pif');
 DeleteFile('c:\documents and settings\никита\local settings\temp\0015bbe7_rar\svchost.pif');
 DeleteFile('c:\documents and settings\никита\local settings\temp\0015bd00_rar\svchost.pif');
 DeleteFile('c:\program files\steam\steamapps\common\mafia ii - public demo\pc\mafia2.exe.bak');
 DeleteFile('c:\system volume information\_restore{3bd9a2cc-5338-450f-91d9-a0f0300a3d76}\rp256\a0079533.pif');
 DeleteFile('c:\system volume information\_restore{3bd9a2cc-5338-450f-91d9-a0f0300a3d76}\rp256\a0079863.pif');
 DeleteFile('c:\system volume information\_restore{3bd9a2cc-5338-450f-91d9-a0f0300a3d76}\rp256\a0079998.pif');
 DeleteFile('c:\system volume information\_restore{3bd9a2cc-5338-450f-91d9-a0f0300a3d76}\rp256\a0080092.pif');
 DeleteFile('c:\system volume information\_restore{3bd9a2cc-5338-450f-91d9-a0f0300a3d76}\rp256\a0081124.pif');
 DeleteFile('c:\system volume information\_restore{3bd9a2cc-5338-450f-91d9-a0f0300a3d76}\rp256\a0081238.exe');
 DeleteFile('c:\system volume information\_restore{3bd9a2cc-5338-450f-91d9-a0f0300a3d76}\rp257\a0081824.exe');
 DeleteFile('c:\system volume information\_restore{3bd9a2cc-5338-450f-91d9-a0f0300a3d76}\rp257\a0081828.exe');
 DeleteFile('c:\system volume information\_restore{3bd9a2cc-5338-450f-91d9-a0f0300a3d76}\rp257\a0081835.exe');
 DeleteFile('c:\system volume information\_restore{3bd9a2cc-5338-450f-91d9-a0f0300a3d76}\rp257\a0082264.pif');
 DeleteFile('d:\system volume information\_restore{3bd9a2cc-5338-450f-91d9-a0f0300a3d76}\rp256\a0079531.pif');
 DeleteFile('C:\deqig.pif');
 DeleteFile('D:\tafa.exe');
 DeleteFile('D:\System Volume Information\_restore{3BD9A2CC-5338-450F-91D9-A0F0300A3D76}\RP256\A0079531.pif');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteRepair(8);
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

iskander-k 12-02-2011 19:10 1611219
• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

FlashMob 12-02-2011 19:21 1611223
Вирус удалил. Оказывается после сканирования SalityKiller, нужно было переустановить WebMoney и Касперского.
Сейчас поставил KIS 2011, выполняю полную проверку.
Спасибо всем большое. В особенности Farger, iskander-k.

Farger 12-02-2011 19:41 1611236
В любом случае выполните лог AVZ выше и лог MBAM. Результаты сканирования скопируйте в сообщение.

iskander-k 12-02-2011 19:45 1611238
После выполненных скриптов нужно удалить Combofix


• Для деинсталяции ComboFix с компьютера необходимо выполнить:
Нажать Пуск затем Выполнить в окне наберите команду Combofix /u (обязательно нужен пробел между х и /), нажмите кнопку "ОК"


Или скачайте OTCleanIt, зеркало OTCleanIt, запустите, нажмите Clean up.

FlashMob 13-02-2011 18:48 1611996
Farger, вот лог AVZ.

FlashMob 13-02-2011 18:53 1612000
iskander-k, выполнил. Спасибо.

Farger 13-02-2011 22:42 1612189
- где лог сканирования Malwarebytes'?
- скачайте и используйте ATF Cleaner (мое сообщение №16)
- выполните скрипт AVZ:
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Цитата:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\System Volume Information\_restore{3BD9A2CC-5338-450F-91D9-A0F0300A3D76}\RP256\A0079531.pif','');
QuarantineFile('C:\System Volume Information\_restore{3BD9A2CC-5338-450F-91D9-A0F0300A3D76}\RP257\A0082407.pif','');
QuarantineFile('C:\System Volume Information\_restore{3BD9A2CC-5338-450F-91D9-A0F0300A3D76}\RP257\A0082264.pif','');
QuarantineFile('C:\System Volume Information\_restore{3BD9A2CC-5338-450F-91D9-A0F0300A3D76}\RP257\A0081835.exe','');
QuarantineFile('C:\System Volume Information\_restore{3BD9A2CC-5338-450F-91D9-A0F0300A3D76}\RP257\A0081828.exe','');
QuarantineFile('C:\System Volume Information\_restore{3BD9A2CC-5338-450F-91D9-A0F0300A3D76}\RP257\A0081824.exe','');
QuarantineFile('C:\System Volume Information\_restore{3BD9A2CC-5338-450F-91D9-A0F0300A3D76}\RP256\A0081238.EXE','');
QuarantineFile('C:\System Volume Information\_restore{3BD9A2CC-5338-450F-91D9-A0F0300A3D76}\RP256\A0081124.pif','');
QuarantineFile('C:\System Volume Information\_restore{3BD9A2CC-5338-450F-91D9-A0F0300A3D76}\RP256\A0080092.pif','');
QuarantineFile('C:\System Volume Information\_restore{3BD9A2CC-5338-450F-91D9-A0F0300A3D76}\RP256\A0079998.pif','');
QuarantineFile('C:\System Volume Information\_restore{3BD9A2CC-5338-450F-91D9-A0F0300A3D76}\RP256\A0079863.pif','');
QuarantineFile('C:\System Volume Information\_restore{3BD9A2CC-5338-450F-91D9-A0F0300A3D76}\RP256\A0079533.pif','');
DeleteFile('C:\System Volume Information\_restore{3BD9A2CC-5338-450F-91D9-A0F0300A3D76}\RP256\A0079533.pif');
DeleteFile('C:\System Volume Information\_restore{3BD9A2CC-5338-450F-91D9-A0F0300A3D76}\RP256\A0079863.pif');
DeleteFile('C:\System Volume Information\_restore{3BD9A2CC-5338-450F-91D9-A0F0300A3D76}\RP256\A0079998.pif');
DeleteFile('C:\System Volume Information\_restore{3BD9A2CC-5338-450F-91D9-A0F0300A3D76}\RP256\A0080092.pif');
DeleteFile('C:\System Volume Information\_restore{3BD9A2CC-5338-450F-91D9-A0F0300A3D76}\RP256\A0081124.pif');
DeleteFile('C:\System Volume Information\_restore{3BD9A2CC-5338-450F-91D9-A0F0300A3D76}\RP256\A0081238.EXE');
DeleteFile('C:\System Volume Information\_restore{3BD9A2CC-5338-450F-91D9-A0F0300A3D76}\RP257\A0081824.exe');
DeleteFile('C:\System Volume Information\_restore{3BD9A2CC-5338-450F-91D9-A0F0300A3D76}\RP257\A0081828.exe');
DeleteFile('C:\System Volume Information\_restore{3BD9A2CC-5338-450F-91D9-A0F0300A3D76}\RP257\A0081835.exe');
DeleteFile('C:\System Volume Information\_restore{3BD9A2CC-5338-450F-91D9-A0F0300A3D76}\RP257\A0082264.pif');
DeleteFile('C:\System Volume Information\_restore{3BD9A2CC-5338-450F-91D9-A0F0300A3D76}\RP257\A0082407.pif');
DeleteFile('D:\System Volume Information\_restore{3BD9A2CC-5338-450F-91D9-A0F0300A3D76}\RP256\A0079531.pif');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполните скрипт

Цитата:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

FlashMob 14-02-2011 16:38 1612755
Вложений: 1
Вот лог Malwarebytes.

Farger 14-02-2011 17:12 1612784
Что с проблемами?

FlashMob 14-02-2011 18:20 1612839
Farger, проблем нет.

Farger 14-02-2011 23:24 1613057
Вот и прекрасно.
- не работайте за компьютером с правами администратора
- не используйте при возможности Internet Explorer или отключите в нем ActiveX. - не забывайте регулярно устанавливать обновления Windows и обновлять антивирусные базы.
- выполняйте ежедневное сканирование системы
- скачайте и установите SpywareBlaster. Он предотвратит установку ActiveX компонентов программ-шпионов и других потенциально нежелательных программ, а также ограничит действия потенциально нежелательных или опасных веб-сайтов.
- помимо регулярного сканирования системы штатным антивирусом, можете один раз в неделю просканировать систему антивирусной утилитой Dr.Web CureIt!


+ обновите Adobe Reader до актуальной версии.
+ для предотвращения вирусов, распространяющихся с USB-устройств, пожалуйста установите Panda USB Vaccine
+ всегда проверяйте вашим антивирусом файлы которые вы получили из сомнительного источника.
+ у вас установлен Kaspersky Internet Security 2010 . Пожалуйста, не забывайте обновлять ваш антивирус.

Ваша система была заражена файловым вирусом Virus.Win32.Sality.

FlashMob 15-02-2011 11:19 1613342
Farger, спасибо, сейчас все сделаю. Вот только новая проблема появилась, вчера все было нормально, а сегодня начала мышка подвисать. Драйвер переустановил, usb пробовал менять, но ничего не помогает! :cry:
Иногда подвисание сопровождается сначала звуком отключения устройства а потом звуком включения (как например флеш накопитель).
Иногда окончательно зависает и приходится либо заново подключить либо перезагружать комп.
Мышка X7 a4tech, подключена по usb.
Можете помочь?

Farger 15-02-2011 15:27 1613525
Попробуйте другую мышку подключить.

Добавлено позже: да, кстати, создайте новую контрольную точку восстановления и очистите заражённую:

1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить

2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.


Время: 13:50.

Время: 13:50.
© OSzone.net 2001-