Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Умер антивирус (http://forum.oszone.net/showthread.php?t=176177)

newpdv 20-05-2010 21:12 1417654
Умер антивирус
 
Вложений: 1
Вчера антивирус KIS 2010 выдал сообщение: "поврежден черный список", после попытки обновления появилось сообщение: "повреждены базы".
Выяснилось что доступ на сайты антивирусов закрыт.
В ходе сканирования CureIt были найдены многочисленные вирусы Trojan.Packed.20032

MotherBoard 20-05-2010 22:03 1417676
Здравствуйте! Выполните скрипт:

Код:
begin
SearchRootkit(true, true);
 SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\shdocvw.dll','');
 QuarantineFile('REBUILDI.EXE','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\uphcleanhlp.sys','');
QuarantineFile('C:\Documents and Settings\йцукен\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
BC_ImportAll;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.
Комп перезагрузится

выполните скрипт:

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму . В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Сделайте новые логи

newpdv 20-05-2010 22:21 1417682
Код:
QuarantineFile('C:\Documents and Settings\йцукен\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
тут ошибка - забыл второй параметр ,''

Выберите тип запроса:
Неизвестная вредоносная программа
Ложное срабатывание
Запрос на описание вредоносной программы

MotherBoard 20-05-2010 22:31 1417687
ок!Недосмотрела...

Код:
begin
SearchRootkit(true, true);
 SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\shdocvw.dll','');
 QuarantineFile('REBUILDI.EXE','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\uphcleanhlp.sys','');
QuarantineFile('C:\Documents and Settings\йцукен\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll','');
QuarantineFile('\\?\globalroot\systemroot\system32\ajxbha9.exe,','');
DeleteFile('\\?\globalroot\systemroot\system32\ajxbha9.exe,');
BC_ImportAll;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.
так же не забудьте про скрипт:
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
И про отправку карантина

Пофиксите так же в HJT


Код:
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,\\?\globalroot\systemroot\system32\ajxbha9.exe,

DNS ваши???

194.186.60.107, 194.186.60.108

newpdv 20-05-2010 22:32 1417689
Выберите тип запроса:
Неизвестная вредоносная программа
Ложное срабатывание
Запрос на описание вредоносной программы

что выбрать?

Цитата:
DNS ваши???
194.186.60.107, 194.186.60.108
да

MotherBoard 20-05-2010 22:39 1417692
Тип запроса: Неизвестная вредоносная программа.
Как сделать фикс в HJT
Сделайте новые логи AVZ и HJT, выложите лог MBAM.

newpdv 20-05-2010 23:36 1417740
Вложений: 2
Смотрите

newpdv 20-05-2010 23:41 1417746
В лабораторию не отправил - слишком большой файл

Антивирус ожил, обновился, поставил на полную проверку

MotherBoard 20-05-2010 23:58 1417761
На всякий случай сделайте лог CF

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."

Что с проблемами?

Код:
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,\\?\globalroot\systemroot\system32\ajxbha9.exe,
Эту строчку Фиксили?


А карантин пробуйте отправить на http://www.virustotal.com/ru/

newpdv 21-05-2010 00:36 1417785
Цитата:
Цитата MotherBoard
Эту строчку Фиксили? »
Пофиксил, не говорите как фиксить, я знаю :)
Цитата:
Цитата MotherBoard
А карантин пробуйте отправить на http://www.virustotal.com/ru/ »
Чист.

MotherBoard 21-05-2010 00:42 1417789
Как самочуствие?
Выложите лог ComboFix

newpdv 21-05-2010 00:42 1417790
Вложений: 1
после фикса

newpdv 21-05-2010 00:44 1417791
MotherBoard, большое Вам спасибо.
Ноут хоть вести себя стал адекватно. Я уже ОСь сносить хотел.
Цитата:
Цитата MotherBoard
Выложите лог ComboFix »
Щас Касперский закончит работу, потом выложу

newpdv 21-05-2010 01:53 1417816
Вложений: 1
Какая-то дурацкая программа

MotherBoard 21-05-2010 02:19 1417822
Такой новый лог видела: virusinfo_syscheck.zip
А этого не было: virusinfo_syscure.zip
Можете отдельно выполнить третий стандартный скрипт или забыли выложить? :)

MotherBoard 21-05-2010 17:23 1418329
Возможно, инфицирован системный файл c:\windows\system32\sethc.exe
Проверьте его на том же вирустотал, что я давалассылку
Если файл действительно окажется инфицированным, то произведите замену на здоровый файл из дистрибутива


Код:
expand X:\i386\sethc.ex_ c:\windows\system32\sethc.exe
Где X: - буква вашего CD\DVD привода- буква дисковода, под которой ваш СД/ДВД привод находится в окне:мой компьютер
Имейте в виду, что диск дистрибутива должен быть по пакету обновлений такой же, как и ваша ОС на ПК.
У вас стоит SP3, значит и нужен диск ХР SP3, с которого эта система ставилась.
Очистите временные файлы, как это указано в правилах.
Создайте новую точку восстановления и очистите предыдущие. подробнее

Карантин, расположенный в корне диска C:\Qoobox\Quarantine отправьте через данную форму , как я писала выше, если не получается, то отправьте на вирустотал, результаты сообщите в теме.

Неосторожное обращение с СF может привести к краху системы, поэтому:
Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"
Или:
Скачайте OTCleaIt , запустите, нажмите Clean up

Удалите так же через пуск/Панель управления/установка и удаление программ/MBAM.
Антивирус сильный, но ругается на всевозможные кряки, может быть конфликт в системе. Поэтому попользовались и деинсталируйте :)

Что с проблемами? Как самочувствие пациента?

newpdv 21-05-2010 22:25 1418490
bcqr00001.ini, bcqr00002.ini, bcqr00003.ini, bcqr00004.ini, bcqr00005.ini, bcqr00006.ini, bcqr00007.ini, bcqr00008.ini, bcqr00009.ini, bcqr00010.ini, shdocvw.dll
Вредоносный код в файлах не обнаружен.

sethc.exe чист

MotherBoard 22-05-2010 14:38 1418775
Как самочувствие? Всё ли в порядке? Если всё нормально, то отметьте в настройках темы, что вопрос решён.
Если есть ещё проблемы: не стесняйтесь, говорите. :)


Время: 21:47.

Время: 21:47.
© OSzone.net 2001-