Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] постоянная перезагрузка компьютера (http://forum.oszone.net/showthread.php?t=209337)

alexim 18-06-2011 18:39 1697120
постоянная перезагрузка компьютера
 
Добрый день всем!
Проблема неясна, но может это вирус. Началось после скачивания из Инета файла установки флеш-плеера с неофициального сайта. Вот логи (Windows 7).
Компьютер грузится в безопасном режиме, потом сам начинает перезагрузку, а потом не грузится вообще.

Farger 18-06-2011 20:18 1697174
Здравствуйте,

Сейчас проверю логи.

Farger 18-06-2011 21:03 1697197
TeamViewer сами устанавливали?

Файл C:\Users\андрей\AppData\Local\Programs\winadv\winadv.exe проверьте на virustotal и дайте ссылку на результат.


1. Скачайте ATF Cleaner на рабочий стол.
Запустите ATF Cleaner, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли;
- если вы используете Opera, нажмите Opera - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли.

2. Отключите:
Антивирус/Файерволл

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\systemup.exe');
TerminateProcessByName('c:\windows\sysdriver32.exe');
TerminateProcessByName('c:\windows\update.tray-8-0-lnk\svchost.exe');
TerminateProcessByName('c:\windows\update.2\svchost.exe');
TerminateProcessByName('c:\windows\update.1\svchost.exe');
TerminateProcessByName('c:\windows\l1rezerv.exe');
StopService('srviecheck');
StopService('srvsysdriver32');
QuarantineFile('services32.exe','');
 QuarantineFile('C:\temp\3245658.exe','');
 QuarantineFile('C:\Windows\update.tray-8-0\svchost.exe','');
 QuarantineFile('C:\Windows\sysdriver32_.exe','');
 QuarantineFile('C:\Windows\sysdriver32.exe','');
 QuarantineFile('C:\Windows\services32.exe','');
 QuarantineFile('C:\Windows\l1rezerv.exe','');
 QuarantineFile('C:\Windows\Temp\6216464.exe','');
 QuarantineFile('C:\Windows\Temp\4921423.exe','');
 QuarantineFile('C:\Windows\Temp\1715018.exe','');
 QuarantineFile('C:\Windows\update.2\svchost.exe','');
QuarantineFile('C:\WINDOWS\iecheck_iplist.txt','');
QuarantineFile('C:\WINDOWS\ddh_iplist.txt','');
QuarantineFile('C:\WINDOWS\iplist.txt','');
QuarantineFile('C:\Windows\loader2.exe_ok','');
QuarantineFile('C:\WINDOWS\front_ip_list.txt','');
QuarantineFile('C:\Windows\winlog-ids.txt','');
 QuarantineFile('C:\Windows\winlog-dirs.txt','');
QuarantineFile('c:\windows\sysdriver32.exe','');
QuarantineFile('c:\windows\update.tray-8-0-lnk\svchost.exe','');
QuarantineFile('c:\windows\update.2\svchost.exe','');
 QuarantineFile('c:\windows\update.1\svchost.exe','');
QuarantineFile('c:\windows\l1rezerv.exe','');
DeleteFile('C:\Windows\winlog-ids.txt');
 DeleteFile('C:\Windows\winlog-dirs.txt');
DeleteFile('C:\WINDOWS\front_ip_list.txt');
DeleteFile('C:\Windows\loader2.exe_ok');
DeleteFile('C:\WINDOWS\iplist.txt');
DeleteFile('C:\WINDOWS\ddh_iplist.txt');
DeleteFile('c:\windows\l1rezerv.exe');
 DeleteFile('c:\windows\update.1\svchost.exe');
 DeleteFile('c:\windows\update.2\svchost.exe');
 DeleteFile('c:\windows\update.tray-8-0-lnk\svchost.exe');
 DeleteFile('c:\windows\sysdriver32.exe');
 DeleteFile('c:\windows\systemup.exe');
 DeleteFile('C:\Windows\update.2\svchost.exe');
 DeleteFile('C:\Windows\Temp\1715018.exe');
 DeleteFile('C:\Windows\Temp\4921423.exe');
 DeleteFile('C:\Windows\Temp\6216464.exe');
 DeleteFile('C:\Windows\l1rezerv.exe');
 DeleteFile('C:\Windows\services32.exe');
 DeleteFile('C:\Windows\sysdriver32.exe');
 DeleteFile('C:\Windows\sysdriver32_.exe');
DeleteFile('C:\WINDOWS\iecheck_iplist.txt');
DeleteFile('C:\Windows\update.tray-8-0\svchost.exe');
DeleteFile('C:\temp\3245658.exe');
DeleteFile('services32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','1715018.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','4921423.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','6216464.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','l1rezerv.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wxpdrv');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysdriver32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysdriver32_.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','3245658.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico0');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico1');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico2');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico3');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico4');
RegKeyParamWrite('HKLM','SYSTEM\CurrentControlSet\Control\SafeBoot','AlternateShell','REG_SZ', 'cmd.exe');
DeleteService('srvsysdriver32');
DeleteService('srviecheck');
DeleteFileMask('C:\windows\update.1','*.*', true);
DeleteDirectory('C:\windows\update.1');
DeleteFileMask('C:\windows\update.2','*.*', true);
DeleteDirectory('C:\windows\update.2');
DeleteFileMask('C:\Windows\update.tray-8-0','*.*', true);
DeleteDirectory('C:\Windows\update.tray-8-0');
DeleteFileMask('C:\Windows\av_ico','*.*', true);
DeleteDirectory('C:\Windows\av_ico');
DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:
begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

3. Пофиксить в HJT

Код:
        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net
        R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.net
        O4 - HKLM\..\Run: [wxpdrv] C:\Windows\services32.exe
O4 - HKLM\..\Run: [tray_ico0] C:\Windows\update.tray-8-0\svchost.exe
        O4 - HKLM\..\Run: [6216464.exe] "C:\Windows\Temp\6216464.exe"
        O4 - HKLM\..\Run: [sysdriver32.exe] "C:\Windows\sysdriver32.exe" rezerv
O4 - HKLM\..\Run: [sysdriver32_.exe] "C:\Windows\sysdriver32_.exe" rezerv
O4 - HKLM\..\Run: [3245658.exe] "C:\temp\3245658.exe"
        O4 - HKLM\..\Run: [systemup] "C:\Windows\systemup.exe" stand
O4 - HKLM\..\Run: [l1rezerv.exe] "C:\Windows\l1rezerv.exe"
O4 - HKLM\..\Run: [1715018.exe] "C:\Windows\Temp\1715018.exe"
O4 - HKLM\..\Run: [4921423.exe] "C:\Windows\Temp\4921423.exe"
4. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

5. Загрузите SecurityCheck by screen317 отсюда или отсюда
Сохраните на Рабочий стол.
Запустите от имени администратора
Когда увидите консоль, нажмите любую клавишу для продолжения сканирования
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования и вы увидите лог в блокноте с именем checkup.txt;
Прикрепите его тоже в ваше следующее сообщение.

6. Повторите логи AVZ+RSIT

alexim 20-06-2011 19:47 1698388
Все сделано. Вот логи.

alexim 20-06-2011 19:48 1698389
еще один

alexim 20-06-2011 19:51 1698390
Цитата:
Цитата Farger
После перезагрузки выполните такой скрипт:
AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме. »
Вот результат

Hello,

This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst.

ddh_iplist.txt,
front_ip_list.txt,
iecheck_iplist.txt,
iplist.txt,
l1rezerv.exe,
winlog-dirs.txt,
winlog-ids.txt

These files are in process.

services32.exe,
svchost.exe,
svchost_1.exe,
svchost_2.exe - Trojan-PSW.Win32.VKont.bje
svchost_0.exe - Trojan.Win32.VkHost.dvs
sysdriver32.exe,
sysdriver32_.exe - Trojan.Win32.Scar.eajx

At the moment these files are detected with the latest antivirus bases.

Best Regards, Kaspersky Lab

"10/1, 1st Volokolamsky Proezd, Moscow, 123060, RussiaTel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"


>> From: sandaliris@gmail.com
>> Sent: 20.06.2011 10:47:27
>> To: newvirus@kaspersky.com
>> Subject: [VirLabSRF][Malicious file analysis][M:1][LN:RU][L:0]
>>
>>
>> LANG: ru
>> email: sandaliris@gmail.com
>>
>> description:
>> virus
>>
>> Загруженные файлы:
>> quarantine.zip

Farger 20-06-2011 20:52 1698434
Здравствуйте,

Файл C:\Users\андрей\AppData\Local\Programs\winadv\winadv.exe проверьте на virustotal и дайте ссылку на результат.

Отключите:
Антивирус/Файерволл

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\update.1\svchost.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\update.2\svchost.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\update.tray-8-0\svchost.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\services32.exe');
DeleteFileMask('C:\Windows\update.tray-8-0','*.*', true);
DeleteDirectory('C:\Windows\update.tray-8-0');
DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

Повторите лог RSIT

alexim 21-06-2011 13:49 1698843
Farger,
Цитата:
Цитата Farger
Файл C:\Users\андрей\AppData\Local\Programs\winadv\winadv.exe проверьте на virustotal и дайте ссылку на результат. »
файл не нашелся

Farger 21-06-2011 14:05 1698851
Файл C:\Users\андрей\Downloads\Flash-Player.exe проверьте на virustotal и дайте ссылку на результат.

Отключите:
Антивирус/Файерволл

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\андрей\AppData\Local\Programs\winadv\winadv.exe','');
QuarantineFile('C:\Users\андрей\Downloads\Flash-Player.exe','');
DeleteFileMask('C:\Windows\update.tray-8-0-Ink','*.*', true);
DeleteDirectory('C:\Windows\update.tray-8-0-Ink');
DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:
begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

Повторите лог RSIT.

alexim 24-06-2011 12:07 1700781
Вложений: 2
Цитата:
Цитата Farger
AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы »
несколько раз отправляла архив с паролем. Ответ один и тот же:
Hello,

This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst.

Your attachment was not received. Probably your problem files were cut off on a mail server during delivering. To avoid this problem you need to place your files in password protected archive (password 'infected' without quotes) and send it again.

Best Regards, Kaspersky Lab

"10/1, 1st Volokolamsky Proezd, Moscow, 123060, RussiaTel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"


>> From: sandaliris@gmail.com
>> Sent: 22.06.2011 13:49:24
>> To: newvirus@kaspersky.com
>> Subject: [VirLabSRF][Malicious file analysis][M:1][LN:RU][L:0]
>>
>>
>> LANG: ru
>> email: sandaliris@gmail.com
>>
>> description:
>> virus
>>
>> Загруженные файлы:
>> quarantine.zip


Лог RSIT

Farger 24-06-2011 15:39 1700899
Здравствуйте,

Сделайте OTL by oldtimer лог файл.

alexim 25-06-2011 15:04 1701363
Вложений: 2
Farger,
вот лог OTL.

Farger 25-06-2011 17:20 1701434
Здравствуйте,

Отлючитесь от сети, отключите антивирус

Запустите OTL, скопируйте ниже написанный скрипт в Custom Scans/Fixes и нажмите кнопку Run Fix

Код:
:OTL
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Low Rights present
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
[2011.06.17 11:30:48 | 000,000,000 | -H-D | C] -- C:\Windows\update.tray-8-0-lnk
@Alternate Data Stream - 118 bytes -> C:\ProgramData\TEMP:BF14D50A

:Services
 
:Reg
 
:Files
C:\Windows\System32\secustat.dat
C:\Windows\System32\ezsidmv.dat

:Commands
[purity]
[emptytemp]
[emptyflash]
[Reboot]
Компьютер перезагрузится.

Будет создан лог, прикрепите к вашему следующему сообщению.

alexim 25-06-2011 22:04 1701545
Вложений: 1
Farger,
вот лог OTL

Farger 25-06-2011 23:58 1701601
Прекрасно. Что с проблемами?
Сделайте еще раз контрольный лог RSIT для того, что бы я смог убедиться, что ваша система чиста.

alexim 26-06-2011 18:01 1701859
Вложений: 1
Farger,
проблем нет. Вот лог RSIT.

Farger 26-06-2011 18:58 1701888
Здравствуйте,

Все чисто.

1. Удалите OTL, для этого:
Запустите OTL, нажмите кнопку CleanUp.
Перезагрузитесь.

2. Создайте новую точку восстановления и очистите предыдущие. Для этого следуйте этой инструкции.

- не работайте за компьютером с правами администратора
- не используйте при возможности Internet Explorer или отключите в нем ActiveX. Если используете Mozilla Firefox, то добавьте в нем плагин NoScript.
- не забывайте регулярно устанавливать обновления Windows.
- выполняйте ежедневное сканирование системы.
- не открывайте вложения в которых вы сомневаетесь.
- не загружайте и не запускайте сомнительные программы.
- скачайте и установите SpywareBlaster. Он предотвратит установку ActiveX компонентов программ-шпионов и других потенциально нежелательных программ, а также ограничит действия потенциально нежелательных или опасных веб-сайтов.
- помимо регулярного сканирования системы штатным антивирусом, можете один раз в неделю просканировать систему антивирусной утилитой Dr.Web CureIt! [/quote]

alexim 26-06-2011 19:29 1701906
Farger,
большое спасибо за помощь!


Время: 06:06.

Время: 06:06.
© OSzone.net 2001-