[решено] Помогите вылечить - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - [решено] Помогите вылечить (http://forum.oszone.net/showthread.php?t=204129)

Помогите вылечить

Попал в руки комп, который 3 года гулял по сети без антивиря. Помогите добить зловредов. Ненужные ветки реестра и лишние автозагрузки потом сам поубиваю. Нужные файлы приложены

Обновите Internet Explorer до IE8

Обновляем систему до SP3. Service Pack 3 (может потребоваться активация)

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

SearchRootkit(true, true);

SetAVZGuardStatus(True);

QuarantineFile('explorer.exe C:\Documents and Settings\1\trcvn.exe','');

QuarantineFile('C:\WINDOWS.0\inf\Other.exe','');

QuarantineFile('c:\windows.0\sviq.exe','');

QuarantineFile('c:\windows.0\dc.exe','');

QuarantineFile('c:\windows.0\system32\amvo.exe','');

QuarantineFile('c:\windows.0\system32\config\win.exe','');

QuarantineFile('c:\windows.0\system32\qtplugin.exe','');

QuarantineFile('c:\windows.0\system\fun.exe','');

QuarantineFile('csbdll.dll','');

QuarantineFile('c:\system volume information\_restore{624b3ef7-d515-4ce4-9237-13ba8f1dff2a}\rp562\a0122933.pif','');

DeleteFile('C:\WINDOWS.0\system32\tmp2F4.tmp');

DeleteFile('c:\windows.0\sviq.exe');

DeleteFile('c:\windows.0\dc.exe');

DeleteFile('c:\windows.0\system32\amvo.exe');

DeleteFile('c:\windows.0\system32\config\win.exe');

DeleteFile('c:\windows.0\system32\qtplugin.exe');

DeleteFile('c:\windows.0\system\fun.exe');

DeleteFile('csbdll.dll');

DeleteFile('C:\WINDOWS.0\inf\Other.exe');

DeleteFile('explorer.exe C:\Documents and Settings\1\trcvn.exe');

DeleteFile('C:\Documents and Settings\1\lqlvx.exe');

DeleteFile('c:\system volume information\_restore{624b3ef7-d515-4ce4-9237-13ba8f1dff2a}\rp562\a0122933.pif');

RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','dc2k5');

RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','dc');

RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','amva');

RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows NT\CurrentVersion\Windows','Run');

RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','RegistryMonitor1');

RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Fun');

RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\csbdll','DLLName');

RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSConfig');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

ExecuteRepair(6);

RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);

ExecuteRepair(8);

ExecuteRepair(13);

RebootWindows(true);

end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

Сделайте повторные логи AVZ (базы обновляем) + HijackThis

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

После лечения поставьте антивирус!

После скрипта комп не перезагрузился, да и после второго скрипта, карантин оказался не в корневом каталоге, а в папке с авз. Ну думаю это не критично . Логи прикрепляю

1) почему игнорируете запросы лога с обновленными базами? в утилиту постоянно добавляются новые опции поиска вредоносного ПО базы не актуальны!

Цитата:

Внимание !!! База поcледний раз обновлялась 14.02.2011 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

Сделайте контрольный лог AVZ (стандартный скрипт 2) с обновленными базами, virusinfo_syscheck.zip и прикрепите его к следующему сообщению

2) Скачайте последнюю версию HijackThis или с зеркала.
Даже, если у Вас есть HijackThis, скачайте его заново, чтобы убедиться, что у Вас последняя версия.
Подготовьте лог и прикрепите к следующему сообщению

3) в МВАМ нужно было удалить только это

Код:

c:\system volume information\_restore{c75a1883-6a7e-48e7-93c1-680595f220ef}\RP322\A0052515.exe (Adware.WhenU) -> No action taken.

c:\system volume information\_restore{c75a1883-6a7e-48e7-93c1-680595f220ef}\RP325\A0144424.exe (Trojan.Downloader) -> No action taken.

все остальное - патчи, кряки, если нужны, можете их восстановить из карантина программы (могут содержать трояны)
Перед восстановлением рекомендую проверить файлы на http://www.virustotal.com

4) отписываемся о проблеме и получаем заключительные рекомендации

Всё только что свежескаченное.

Вижу запускали C:\ComboFix\catchme.sys
лог могу увидеть?

если не ставили стартовой страницей, Пофиксить в HijackThis

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://scrim.clan.su

Добьем зловреда

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

SearchRootkit(true, true);

SetAVZGuardStatus(True);

DeleteFile('C:\Documents and Settings\1\trcvn.exe');

DelAutorunByFileName('trcvn.exe');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

ExecuteRepair(16);

RebootWindows(true);

end.

После выполнения скрипта компьютер перезагрузится!

повторите лог virusinfo_syscheck.zip для контроля удаления

Выполнил. Прикрепляю логи + с комбо

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"

Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Деинсталлируйте MBAM.

Как самочувствие больного? кроме Internet Explorer v6.00 SP2 и Windows XP SP2 я не вижу больше ничего плохого :)
Обновитесь, пожалуйста по ссылкам в моем первом посте для собственной безопасности

Если более ничего не беспокоит
Создайте новую контрольную точку восстановления и очистите заражённую:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли

Рекомендуем для предотвращения заражения:
- не работать за компьютером с правами администратора
- при использовании Internet Explorer отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и обновлять антивирусные базы.

Да, всё впорядке. Комбо я уже деинсталировал, утилиты применил, IE поменял на 8, SP2 поменял на SP3. Большое Вам человеческое спасибо )) Тему можно закрывать

Ставьте префикс темы-РЕШЕНО. Чистого инета, больше не болейте