Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Последствия вируса (http://forum.oszone.net/showthread.php?t=199286)

Neza 12-02-2011 14:29 1611016
Последствия вируса
 
Приветствую всех! Прошу помощи!
Проблема: был пойман вирус - смс-вымогатель, через безопасный режим с поддержкой коммандной строки изменила параметры регистра Shell на explorer.exe (в строке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon), сам файл удалила, теперь не работает рабочий стол, пуск, диспетчер задач. Логи прилагаю

zirreX 12-02-2011 15:33 1611039
Добрый день!

Почему логи из безопасного режима? В нормальном режиме система не грузится?

Проверьте файл на www.virustotal.com и дайте ссылку на результат.
Код:
C:\WINDOWS\nvsvc32.exe
Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
 ClearQuarantine;
 QuarantineFile('C:\WINDOWS\nvsvc32.exe','');
 QuarantineFile('C:\Downloads\xxx_video.avi.exe','');
 DeleteFile('C:\Downloads\xxx_video.avi.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(1);
 ExecuteRepair(9);
 ExecuteRepair(16);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

• После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip из папки AVZ через эту форму.

Пофиксите в HiJackThis
Отметьте галочками указанные строки и нажмите Fix Checked.
Код:
R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: QipLI - {6B5863A0-C43F-4C0A-982B-CC0E9125783F} - (no file)
Сделайте новые логи AVZ и RSIT, загрузившись в нормальном режиме!

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Код:
MSIE: Internet Explorer v7.00 (7.00.6000.20978)
Обновите Internet Explorer до восьмой версии, даже если им не пользуетесь!

Neza 12-02-2011 16:56 1611104
Спасибо за помощь!
В нормальном режиме система грузилась, но рабочий стол был девственно чист, запустить сканирование получалось только в безопасном режиме, что я и делала.
Цитата:
Цитата zirreX
Проверьте файл на www.virustotal.com и дайте ссылку на результат.
Код:
C:\WINDOWS\nvsvc32.exe »
Файл отправить не смогла, так как не получилось его найти
Цитата:
Цитата zirreX
Обновите Internet Explorer до восьмой версии, даже если им не пользуетесь! »
Обновила

Все вроде заработало. Вот новые логи

zirreX 12-02-2011 17:47 1611150
Удалите в MBAM
Код:
Заражённые ключи в реестре:
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETPROTOCOL (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netprotocol (Trojan.Agent) -> No action taken.

Заражённые параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run\NVIDIA driver monitor (Backdoor.Agent) -> Value: NVIDIA driver monitor -> No action taken.
Проверьте на www.virustotal.com.
Код:
c:\program files\OpeeraAC.exe
c:\program files\savehwids.exe
c:\WINDOWS\nastroyki.exe
c:\WINDOWS\Finalize.exe
Дайте ссылки на результаты проверок.


Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
 DeleteFile('C:\Downloads\xxx_video.avi.exe');
 DeleteFile('C:\WINDOWS\nvsvc32.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run','NVIDIA driver monitor');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(1);
 ExecuteRepair(16);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Сделайте новые логи AVZ и MBAM

Neza 12-02-2011 19:48 1611241
Новые логи.

zirreX 12-02-2011 20:18 1611261
Файлы проверили на www.virustotal.com? В новом логе их не вижу, удалили?

Есть еще проблемы?

Neza 12-02-2011 20:25 1611267
Я их тоже не обнаружила, проблем пока нет. Огромное спасибо за помощь!

zirreX 12-02-2011 21:01 1611300
Важные пароли смените.

Очистите временные файлы:
Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли.

Установите все обновления Windows

Для предотвращения заражения рекомендую вам не работать за компьютером с правами администратора, использовать браузер Firefox с дополнением NoScript.
Если вы используете браузер Internet Explorer, отключите в нем ActiveX (Сервис -> свойства обозревателя -> безопасность -> другой -> запуск элементов ActiveX и модулей подключения
Регулярно устанавливать обновления windows и обновлять антивирусные базы.


Время: 07:29.

Время: 07:29.
© OSzone.net 2001-