Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Вирус-спам. плз помогите. (http://forum.oszone.net/showthread.php?t=143706)

Brazilec 28-06-2009 20:09 1154018
Вирус-спам. плз помогите.
 
Проблема вот в чём. С какого то времени на рабочем столе стало появлятся окно с предложениями разного вида, реклама. неизвестно откуда подхватил. сканировал систему, был заражён файл в папке Windows. удалил, проблема не решилась, спам появляется переодически, требует для прекращения рассылки рекламы отправить смс. также при запуске системы выходит ошибка что Windows не нашёл данный файл riodrv.exe. Пожалуйста подскажите что делать.
p.s. некоторый промежуток времени система находилась без защиты, должно быть подхватил вирус тогда..

iskander-k 28-06-2009 20:10 1154019
Brazilec, Здравствуйте.
Выложите логи в соответствии с этими инструкциями.

Brazilec 28-06-2009 20:57 1154071
Вложений: 1
Вот.

Drongo 28-06-2009 21:25 1154103
Brazilec, приветствую. :) Перед выполнением скриптов, выполните несколько советов, это позволить свести к минимуму возможное повторное заражение.
  1. Очистите временные файлы.

    Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
    - скачайте ATF Cleaner или с зеркала, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли
    - если вы используете Opera, нажмите Opera - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли.

  2. Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих.
    • Создание новой точки восстановления: Нажмите Пуск => Программы => Стандартные => Служебные => Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать
    • Очистка всех предыдущих точек восстановления: Нажмите Пуск => Программы => Стандартные => Служебные => Очистка диска, выберите системный диск, на вкладке Дополнительно => Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.

      Как это сделать, можно подробно прочитать здесь.

* Подробнее можно прочитать в этой теме.


Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\H@tKeysH@@k.DLL','');
 QuarantineFile('riodrv.exe','');
 DeleteFile('riodrv.exe');
 DeleteFile('C:\WINDOWS\system32\H@tKeysH@@k.DLL');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(16);
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме.

HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis
Код:
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
F2 - REG:system.ini: Shell=Explorer.exe riodrv.exe
Не игнорируйте рекомендации!
4. Рекомендации:
1. В данном логе есть службы и настройки которые могут быть использованы в качестве потенциальной опасности:
Цитата:
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Что из перечисленного в списке не нужно вам?


2. Рекомендую проверять систему регулярно, утилитой CureIT
3. Регулярно обновляйте базы для вашего антивируса.
4. Не работайте с правами Администратора на компьютере.
5. Скачайте JavaRA здесь или здесь
Распакуйте, запустите, выберите "Remove Older Versions",Далее нажмите "Search For Updates", выберите "Update Using Sun Java's Website" и "Open Webpage"Альтернативный вариант - после удаления старой версии скачайте и установите последнюю версию Java Runtime Environment (JRE) с сайта производителя.

Как самочувствие компьютера после выполненых рекомендаций? :) Жалобы ещё есть?

Brazilec 28-06-2009 23:38 1154239
Цитата:
Цитата Drongo
HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis
Код:
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
F2 - REG:system.ini: Shell=Explorer.exe riodrv.exe »
пункта F2 - REG:system.ini: Shell=Explorer.exe riodrv.exe у меня не появилось, но первый я пофиксел. Так же спама больше нет, ошибка не появляется. Большое спасибо)

iskander-k 29-06-2009 13:39 1154611
Brazilec,
Выложите новые логи - обязательно !

thyrex 29-06-2009 14:32 1154666
Перед повторными логами выполните еще такие действия

Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{82C885EE-6B87-4D51-9EF4-0CFE9FADA900}');
 QuarantineFile('systool16b.dll','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\AdSubscribe\AdSubscribe.dll','');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\AdSubscribe\AdSubscribe.dll');
 DeleteFile('systool16b.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполнить скрипт в AVZ.
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Brazilec 29-06-2009 17:19 1154802
Вложений: 1
Вот ответ. ещё перед новыми логами добавлю, что ошибка хоть и исчезла, но спам всё ещё появляется...

Brazilec 29-06-2009 17:50 1154826
Вложений: 1
Новые логи...

thyrex 29-06-2009 17:53 1154830
Скрипт из сообщения №7 выполняли? Если нет, тогда выполните и после этого сделайте новые логи.

Brazilec 29-06-2009 21:24 1154996
сделал я скрипты и файл quarantine.zip отправил на newvirus@kaspersky.com. Ответ в сообщении №8. после этого сделал логи которые в сообщение №9.

thyrex 29-06-2009 21:40 1155003
Скрипт из сообщения 7 явно не выполнялся. Попробуйте его выполнить еще раз

Brazilec 30-06-2009 16:00 1155555
Вложений: 1
выполнил скрипт из 7 сообщения, вот новые логи.

thyrex 30-06-2009 16:13 1155563
Пофиксить в HiJack
Код:
F2 - REG:system.ini: UserInit=userinit.exe
Что с проблемой?

Brazilec 30-06-2009 21:15 1155833
пофиксил... проблем пока что нет.. пару часов посмотрю, если будут, сообщу.

Brazilec 01-07-2009 02:50 1156044
Проблем нет, Большое всем спасибо...


Время: 09:04.

Время: 09:04.
© OSzone.net 2001-