|
Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] NOD32 Усиленный режим (Вирус) |
|
|
[решено] NOD32 Усиленный режим (Вирус)
|
Новый участник Сообщения: 7 |
Профиль | Отправить PM | Цитировать
Здравствуйте!
Ситуация та же, что у пользователя bilitok http://forum.oszone.net/post-1688806.html Только в моём случае, СureIt не помог... На самом деле, как мне кажется, вирус не "вшивается" в антивирус, а просто принимает его форму (значок в трее и приоритет), Настоящий же Антивирусник в системе установлен, но запуститься не может, в место него это делает так называемый "вирус", его даже видно в Диспетчере задач (По крайней мере я подозреваю, что это из-за него, потому что эти процессы мне, мягко говоря не знакомы))... (Form4 в задачах l1rezerv.exe в процессах) всё это есть на скринах. Можно конечно их по вырубать, но при запуске NOD'а они включаются снова. Просканил комп утилиткой СureIt, обезвредил пару троянов, но походу- это не то... Ничего не наладилось. В итоге сделал всё по инструкции, подготовил логи... Искренне, прошу помочь, если есть вариант, иначе придётся сносить Ось : ( |
|
Отправлено: 16:42, 17-06-2011 |
Блондинка Сообщения: 1585
|
Профиль | Отправить PM | Цитировать OkeWismut,привет
Отключите: Антивирус/Файерволл AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить. begin SearchRootkit(true, true); SetAVZGuardStatus(True); ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('c:\windows\update.3\svchost.exe'); TerminateProcessByName('c:\windows\update.1\svchost.exe'); TerminateProcessByName('c:\windows\sysdriver32.exe'); StopService('srvsysdriver32'); QuarantineFile('c:\windows\update.3\svchost.exe',''); QuarantineFile('c:\windows\update.1\svchost.exe',''); QuarantineFile('c:\windows\sysdriver32.exe',''); QuarantineFile('C:\Windows\update.tray-2-0\svchost.exe',''); QuarantineFile('C:\Windows\update.2\svchost.exe',''); QuarantineFile('C:\Windows\systemup.exe',''); QuarantineFile('C:\Windows\sysdriver32_.exe',''); QuarantineFile('C:\Windows\services32.exe',''); QuarantineFile('C:\Windows\l1rezerv.exe',''); QuarantineFile('c:\windows\sysdriver32.exe',''); DeleteFile('C:\Windows\sysdriver32.exe'); DeleteFile('C:\Windows\l1rezerv.exe'); DeleteFile('C:\Windows\services32.exe'); DeleteFile('C:\Windows\sysdriver32_.exe'); DeleteFile('C:\Windows\systemup.exe'); DeleteFile('c:\windows\update.3\svchost.exe'); DeleteFile('c:\windows\update.1\svchost.exe'); DeleteFile('c:\windows\sysdriver32.exe'); DeleteFile('C:\Windows\update.tray-2-0\svchost.exe'); DeleteFile('C:\Windows\update.2\svchost.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','l1rezerv.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wxpdrv'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysdriver32.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysdriver32_.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','systemup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','w_distrib.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico0'); DeleteService('srvsysdriver32'); DeleteFileMask('C:\Windows\update.tray-2-0','*.*', true); DeleteDirectory('C:\Windows\update.tray-2-0'); DeleteFileMask('c:\windows\update.3','*.*', true); DeleteDirectory('c:\windows\update.3'); DeleteFileMask('c:\windows\update.1','*.*', true); DeleteDirectory('c:\windows\update.1'); DeleteFileMask('c:\windows\update.2','*.*', true); DeleteDirectory('c:\windows\update.2'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(1); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится! После перезагрузки выполните такой скрипт: AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему Пофиксить в HijackThis следующие строчки: R3 - URLSearchHook: (no name) - - (no file) O4 - HKLM\..\Run: [wxpdrv] C:\Windows\services32.exe O4 - HKLM\..\Run: [tray_ico0] C:\Windows\update.tray-2-0\svchost.exe O4 - HKLM\..\Run: [sysdriver32.exe] "C:\Windows\sysdriver32.exe" rezerv O4 - HKLM\..\Run: [sysdriver32_.exe] "C:\Windows\sysdriver32_.exe" rezerv O4 - HKLM\..\Run: [w_distrib.exe] "C:\Windows\update.3\svchost.exe" stand O4 - HKLM\..\Run: [systemup] "C:\Windows\systemup.exe" stand O4 - HKLM\..\Run: [l1rezerv.exe] "C:\Windows\l1rezerv.exe" O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file) Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM |
------- Последний раз редактировалось SolarSpark, 17-06-2011 в 17:31. Отправлено: 17:03, 17-06-2011 | #2 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Новый участник Сообщения: 7
|
Профиль | Отправить PM | Цитировать Сделал всё, как сказано.... НО:
В прикреплённом файле "HiJackThis Log.rar" отображены логи уже после фикса следующих строк: "R3 - URLSearchHook: (no name) - - (no file)" и "O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)" а других, которые нужно было пофиксить, там просто не было (Скан не определяет). И ещё: Теперь после запуска Антивируса (А ныне "Вируса") в Диспетчере задач добавилась ещё одна задача "Form2", а "l1rezerv.exe" в процессах больше не отображается... А в целом, всё так же... Подготовил логи, жду ответа : ) |
Отправлено: 11:08, 19-06-2011 | #3 |
Блондинка Сообщения: 1585
|
Профиль | Отправить PM | Цитировать Доброго дня. Ситуация намного легче Зачистим остатки
|
------- Последний раз редактировалось SolarSpark, 19-06-2011 в 12:39. Отправлено: 12:02, 19-06-2011 | #4 |
Ветеран Сообщения: 876
|
Профиль | Отправить PM | Цитировать Удалить в MBAM:
Заражённые процессы в памяти: c:\Windows\update.tray-2-0-lnk\svchost.exe (Trojan.Dropper) -> 2556 -> No action taken. Заражённые ключи в реестре: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wxpdrivers (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\wxpdrivers (Trojan.Agent) -> No action taken. Заражённые файлы: c:\Windows\update.tray-2-0-lnk\svchost.exe (Trojan.Dropper) -> No action taken. c:\Users\Artem\AppData\Local\Temp\loader_rezerv.exe (Backdoor.Delf) -> No action taken. c:\Users\Artem\AppData\Local\Temp\myrar.exe (Trojan.Dropper) -> No action taken. c:\Users\Artem\AppData\Local\Temp\iecheck11.exe (Trojan.VkHost) -> No action taken. c:\Users\Artem\AppData\Local\Temp\loader2.exe (Trojan.Agent) -> No action taken. c:\Windows\Temp\myrar.exe (Trojan.Dropper) -> No action taken. • Выполните скрипт AVZ AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(true); ClearQuarantine; TerminateProcessByName('C:\Windows\update.tray-2-0-lnk\svchost.exe'); QuarantineFile('C:\Windows\update.tray-2-0\svchost.exe',''); QuarantineFile('C:\Windows\system32\XDva380.sys',''); QuarantineFile('C:\Windows\system32\XDva383.sys',''); QuarantineFile('C:\Windows\loader2.exe_ok',''); QuarantineFile('C:\Windows\winlog-dirs.txt',''); QuarantineFile('C:\Windows\winlog-ids.txt',''); QuarantineFile('C:\Windows\w_distrib_iplist.txt',''); QuarantineFile('C:\Windows\ddh_iplist.txt',''); QuarantineFile('C:\Windows\iecheck_iplist.txt',''); QuarantineFile('C:\Windows\front_ip_list.txt',''); QuarantineFile('C:\Windows\iplist.txt',''); DeleteFile('C:\Windows\loader2.exe_ok'); DeleteFile('C:\Windows\iplist.txt'); DeleteFile('C:\Windows\front_ip_list.txt'); DeleteFile('C:\Windows\system32\XDva380.sys'); DeleteFile('C:\Windows\system32\XDva383.sys'); DeleteFile('C:\Windows\update.tray-2-0\svchost.exe'); DeleteFile('C:\Windows\iecheck_iplist.txt'); DeleteFile('C:\Windows\ddh_iplist.txt'); DeleteFile('C:\Windows\w_distrib_iplist.txt'); DeleteFile('C:\Windows\winlog-ids.txt'); DeleteFile('C:\Windows\winlog-dirs.txt'); DeleteFile('C:\Windows\services32.exe'); DeleteFile('services32.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico0'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico1'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico2'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico3'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico4'); RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wxpdrivers'); RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\SafeBoot\network\wxpdrivers'); RegKeyParamWrite('HKLM','SYSTEM\CurrentControlSet\Control\SafeBoot','AlternateShell','REG_SZ', 'cmd.exe'); DeleteFileMask('C:\Windows\update.tray-2-0-lnk','*.*', true); DeleteFileMask('C:\Windows\av_ico','*.*', true); DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true); DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true); DeleteDirectory('C:\Windows\update.1\'); DeleteDirectory('C:\Windows\update.2\'); DeleteDirectory('C:\Windows\update.3\'); DeleteDirectory('C:\Windows\update.tray-2-0\'); DeleteDirectory('C:\Windows\update.tray-2-0-lnk'); DeleteDirectory('C:\Windows\av_ico'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('XDva380'); BC_DeleteSvc('XDva383'); BC_DeleteSvc('wxpdrivers'); BC_Activate; RebootWindows(true); end. • После перезагрузки выполните такой скрипт: AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip из папки AVZ через эту форму. Сделайте новые логи AVZ, RSIT, MBAM. |
|
------- Отправлено: 12:06, 19-06-2011 | #5 |
Новый участник Сообщения: 7
|
Профиль | Отправить PM | Цитировать Приветствую!...
Опять же, сделал всё, как было описано, кроме: "Удалить в MBAB: код: Заражённые процессы в памяти: c:\Windows\update.tray-2-0-lnk\svchost.exe (Trojan.Dropper) -> 2556 -> No action taken. Заражённые ключи в реестре: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wxpdrivers (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\wxpdrivers (Trojan.Agent) -> No action taken. Заражённые файлы: c:\Windows\update.tray-2-0-lnk\svchost.exe (Trojan.Dropper) -> No action taken. c:\Users\Artem\AppData\Local\Temp\loader_rezerv.exe (Backdoor.Delf) -> No action taken. c:\Users\Artem\AppData\Local\Temp\myrar.exe (Trojan.Dropper) -> No action taken. c:\Users\Artem\AppData\Local\Temp\iecheck11.exe (Trojan.VkHost) -> No action taken. c:\Users\Artem\AppData\Local\Temp\loader2.exe (Trojan.Agent) -> No action taken. c:\Windows\Temp\myrar.exe (Trojan.Dropper) -> No action taken." Как именно это сделать? |
Отправлено: 12:43, 21-06-2011 | #6 |
Ветеран Сообщения: 876
|
Профиль | Отправить PM | Цитировать На F: у вас вторая ОС?
Восстановите эти файлы из арантина MBAM. Главное меню MBAM -> вкладка Карантин -> Отметить указанные ниже файлы и нажать на кнопку Восстановить. f:\WINDOWS\system32\eventvwr.exe (Trojan.FakeMS) -> Quarantined and deleted successfully. f:\WINDOWS\system32\ctfmon.exe (Trojan.FakeMS) -> Quarantined and deleted successfully. f:\WINDOWS\system32\dllcache\iissync.exe (Virus.Expiro) -> Quarantined and deleted successfully. Пофиксите в hijackthis: |
------- Отправлено: 13:31, 21-06-2011 | #7 |
Новый участник Сообщения: 7
|
Профиль | Отправить PM | Цитировать Хмм... Да, там стоит XP, очень давно ей не пользовался, Использую F: исключительно, как носитель...
|
Последний раз редактировалось OkeWismut, 21-06-2011 в 14:49. Отправлено: 13:46, 21-06-2011 | #8 |
Новый участник Сообщения: 7
|
Профиль | Отправить PM | Цитировать Готово!
|
Отправлено: 15:40, 21-06-2011 | #9 |
Ветеран Сообщения: 876
|
Профиль | Отправить PM | Цитировать Чисто. Проблема решена?
Удалите файл: Вижу следы от некорректно удаленного Др.Веб. Деинсталлируйте через dr.web remover Создайте новую контрольную точку восстановления и удалите зараженную: 1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно - Восстановление системы нажмите Очистить 2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать. Обновите Adobe Reader до последней версии. Обновите Adobe Flash Player до последней версии |
------- Отправлено: 16:06, 21-06-2011 | #10 |
|
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
Антивирусы - Проблема с NOD32( вроде бы в него "вшился" вирус) | bilitok | Лечение систем от вредоносных программ | 2 | 05-06-2011 16:03 | |
Разное - Текущий режим передачи: Multi-Word DMA режим 2 | Jraah | Microsoft Windows 2000/XP | 4 | 08-04-2010 14:47 | |
Nod32 определяет файл hosts как вирус и кидает его в карантин... | Vlad_PC | Лечение систем от вредоносных программ | 3 | 15-02-2010 18:39 | |
[решено] Усиленный аккумулятор повышенной емкости для ноутбука | Artem-Samsung | Ноутбуки | 6 | 09-07-2009 08:35 | |
комп не переходит ни режим ожидания, ни в спящий режим. | razov76 | Хочу все знать | 5 | 29-02-2008 22:00 |
|