Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Вирусы повсюду! Выручайте! (http://forum.oszone.net/showthread.php?t=231410)

zicell@vk 27-03-2012 18:54 1887934
Вирусы повсюду! Выручайте!
 
Вложений: 2
Помогите, люди добрые!

Я свой компьютер, наверно, замучил. Сначала хотел было написать, что у меня появилась черт знает что за папка с файлом klpclst.dat, из-за чего с системой работать стало невозможно. Но потом запустил CureIt, и он обнаружил аж 6 вредоносных программ:

  • Trojan.Carberb.30 в собственно klpclst.dat
  • Trojan.SMSSend.1257 в файле winzipinfo
  • Trojan.Hosts.5587 в pgkpdv.lnk
  • Trojan.Hosts.5587 в vskwfg.lnk
  • Adware.Dawnware.139 в everest.ultimate.550.exe
  • Adware.Dawnware.139 в everest.ultimate.550.exe (два раза, не вру)

Трояны он "удалил" (а последние два нашлись вообще на других дисках, а там и операционная система стоит другая), но проблемы-то остались, причём характер у них постоянно разнится: то всё зависнет, и не ответит даже диспетчер; то в интернет не пустит и т.д. А ещё ни в какую не хочет запускаться Internet Explorer, и, как не крути, не хочет обновляться база AVZ из-за некой ошибки загрузки файла с описанием обновления. Поэтому я не смог точно следовать инструкциям по диагностике и созданию логов, но логи есть:

iskander-k 27-03-2012 19:39 1887955
1.

Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\exaSnrGYA9hVavNVMDRR.dll','');
QuarantineFile('C:\plg.txt','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\azHYCPemEQo.exe','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\axklssqk.SYS','');
 QuarantineFile('C:\Program Files\Google\Update\1.3.21.111\psmachine.dll','');
 QuarantineFile('C:\Program Files\Google\Update\1.3.21.111\goopdate.dll','');
 DeleteFile('C:\WINDOWS\System32\Drivers\axklssqk.SYS');
 DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\azHYCPemEQo.exe');
DeleteFile('C:\plg.txt');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\exaSnrGYA9hVavNVMDRR.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(14);
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте через форму


2.

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM

3.
Обновите базы АВЗ и повторите логи.

zicell@vk 27-03-2012 20:54 1888018
После первого скрипта перестала работать локальная сеть, а вместе с ней и интернет.

А ещё я не могу отправить файл quarantine, ибо расширение у меня вышло не zip, а Z01.

iskander-k 27-03-2012 21:14 1888032
Цитата:
Цитата zicell@vk
После первого скрипта перестала работать локальная сеть, а вместе с ней и интернет. »
Если пропала сеть и доступ в Интернет
Выполните скрипт в AVZ
Код:
begin
ExecuteRepair(15);
RebootWindows(true);
end.
если не поможет используйте эту информацию

Цитата:
Цитата zicell@vk
у меня вышло не zip, а Z01. »
поменяйте на zip


лог МБАМ готовьте

zicell@vk 28-03-2012 00:54 1888182
Вложений: 3
Дурдом. Первый находит вирусы у второго, второй - у третьего, третий - у первого, и все чего-то там помещают в карантин и удаляют. Не без моего, конечно, разрешения.

Во-первых, WinsockFix таки помог с интернетом, спасибо. Во-вторых, quarantine.zip, переименовав, я вам давно отправил. Логи MBAM вроде на месте. RSIT, подлец, на этот раз сработал с ошибкой:

An unexpected error has occurred of procedure: modMain_StartScan()
Error #5 - Invalid procedure call or argument

но логи создал, и я их сюда выложил. ABZ, в свою очередь, наконец-то обновил базы.

iskander-k 28-03-2012 18:19 1888700
Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\Drivers\vifqari.sys','');
 DeleteFile('C:\WINDOWS\system32\Drivers\vifqari.sys');
 DeleteFileMask('C:\Documents and Settings\Admin\Application Data\9SnNmnxwT3LDPAg', '*.*', true);
 DeleteFileMask('C:\9SnNmnxwT3LDPAg', '*.*', true);
DeleteDirectory('C:\Documents and Settings\Admin\Application Data\9SnNmnxwT3LDPAg');
DeleteDirectory('C:\9SnNmnxwT3LDPAg');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте через форму

zicell@vk 28-03-2012 20:18 1888766
Отправил.

iskander-k 28-03-2012 22:05 1888852
Что с проблемой ?

zicell@vk 29-03-2012 01:08 1888957
Наверно, можно сказать, что проблема решена: всё работает более-менее исправно, ничего просто так не зависает, подозрительные папки исчезли. Большое спасибо!


Время: 01:23.

Время: 01:23.
© OSzone.net 2001-