Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Опять болячки (http://forum.oszone.net/showthread.php?t=180676)

_Darwin_ 15-07-2010 18:18 1453993
Опять болячки
 
Теперь что то белее гадкое чем всегда. Загруженная система, грузит svchost, отключить нельзя, ибо вырубается вся система. Google Chrome напрочь отказывается работать.
И вообще происходит полный без предел.
Всё что нашла Авира, она же удалила, но ситуации это не помогло.
В приложении логи AVZ и hijackthis
Надеюсь на помощь.
Ps: эта фигня удалила все точки восстановления системы....

help? 15-07-2010 18:36 1454005
Привет.
HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis
Код:
R3 - URLSearchHook: (no name) -  - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\mK1OXOX.exe,\\?\globalroot\systemroot\system32\1GQ0f2l.exe,\\?\globalroot\systemroot\system32\Qqqibt3.exe,\\?\globalroot\systemroot\system32\3YyFshh.exe,\\?\globalroot\systemroot\system32\1AS7chS.exe,C:\WINDOWS\system32\2b49027a.exe,C:\WINDOWS\system32\uwfkkb.exe,
O4 - Startup: wwwznv32.exe
Сами прокси писали?Если нет, то тоже строку пофиксите:
Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 84.52.71.82:3128
Выполнить скрипт в авз:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
 QuarantineFile('C:\WINDOWS\system32\2b49027a.exe','');
 QuarantineFile('C:\DOCUME~1\1E86~1\LOCALS~1\Temp\~TM1B6.tmp','');
 QuarantineFile('C:\WINDOWS\system32\drivers\vmfilter303.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Bulk536.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Ca536av.sys','');
 QuarantineFile('C:\WINDOWS\system32\uwfkkb.exe','');
QuarantineFile('C:\Documents and Settings\Михаил\Главное меню\Программы\Автозагрузка\wwwznv32.exe','');
 DeleteFile('C:\Documents and Settings\Михаил\Главное меню\Программы\Автозагрузка\wwwznv32.exe');
 DeleteFile('C:\WINDOWS\system32\uwfkkb.exe');
 DeleteFile('C:\DOCUME~1\1E86~1\LOCALS~1\Temp\~TM1B6.tmp');
 DeleteFile('C:\WINDOWS\system32\2b49027a.exe');
 DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','explorer');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.
Скачайте AVZ 4.34
Сделайте новые логи.
Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

_Darwin_ 15-07-2010 19:38 1454044
Вот все что вы просили:
Файлы прикреплены к сообщению.

Надеюсь это то, что нужно:
читать дальше »
Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

~TM1B6.tmp - Trojan-Ransom.Win32.PinkBlocker.bqx

В настоящий момент этот файл определяется антивирусом со свежими антивирусными базами.
Для разблокировки данной троянской программы Вы можете воспользоваться нашим сервисом:
http://support.kaspersky.ru/viruses/deblocker
http://support.kaspersky.ru/sms - с мобильных телефонов и коммуникаторов.

2b49027a.exe,
uwfkkb.exe - Backdoor.Win32.Shiz.gen

В настоящий момент эти файлы определяются антивирусом со свежими антивирусными базами.

mdnsNSP.dll,
wwwznv32.exe

Файлы в процессе обработки.

setupapi.dll - Trojan.Win32.BHO.aihr

Детектирование файла будет добавлено в следующее обновление.

С уважением, Лаборатория Касперского

123060, Россия, Москва, 1-й Волоколамский проезд дом 10, стр 1
Тел./факс: + 7 (495) 797 8700
http://www.kaspersky.ru http://www.viruslist.ru

help? 15-07-2010 20:24 1454080
Выполните скрипт в авз:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\Program Files\Mozilla Firefox\setupapi.dll');
 DeleteFile('C:\Program Files\Opera\setupapi.dll');
 DeleteFile('C:\System Volume Information\_restore{80EB32C8-8F60-4E34-A4F3-014BFC4ADFD3}\RP2\A0002042.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
Код:
:Processes
explorer.exe

:Services

:Files
C:\WINDOWS\system32\bmzgkdr.exe
C:\WINDOWS\system32\rnmpvmf.exe
C:\WINDOWS\system32\hqwoovl.exe
C:\WINDOWS\system32\d4dd44c2.exe
C:\WINDOWS\system32\xexbicl.exe
C:\WINDOWS\system32\ketdmrz.exe
C:\WINDOWS\system32\Ymfl9tV.exe
C:\WINDOWS\system32\gWmZA6w.exe
C:\Program Files\Common Files\keylog.txt
C:\WINDOWS\system32\4HUmnLe.exe

:Reg

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

Компьютер перезагрузится.

После перезагрузки запакуйте папку "C:\_OTM\MovedFiles", отправьте на Anti-Spyware2010atyandex.ru
с заменой at на @.Повторите логи.
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Что с проблемами?:)

help? 15-07-2010 22:13 1454151
Я добавил еще один файл в скрипт.Если выполняли старый еще такой скрипт в авз:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\4HUmnLe.exe','');
 DeleteFile('C:\WINDOWS\system32\4HUmnLe.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
И только после этого логи повторите.

_Darwin_ 16-07-2010 14:02 1454509
Проблемы не стало сразу после первого вашего поста.
Выполнил все что вы сказали.

mbam-log-2010-07-16 (18-35-09):
читать дальше »
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Database version: 4318

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

16.07.2010 18:35:09
mbam-log-2010-07-16 (18-35-09).txt

Scan type: Full scan (C:\|)
Objects scanned: 235714
Time elapsed: 29 minute(s), 54 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 3
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 5

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Quarantined and deleted successfully.

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
C:\Documents and Settings\Михаил\Рабочий стол\avz4\Quarantine\2010-07-15\avz00006.dta (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Documents and Settings\Михаил\Рабочий стол\avz4\Quarantine\2010-07-15\bcqr00015.dta (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Documents and Settings\Михаил\Рабочий стол\avz4\Quarantine\2010-07-15\bcqr00016.dta (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{80EB32C8-8F60-4E34-A4F3-014BFC4ADFD3}\RP2\A0002046.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Documents and Settings\Михаил\Application Data\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.

Логи приложены.

help? 16-07-2010 18:26 1454651
Создадите новую контрольную точку восстановления и очистите заражённую:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.+выполните скрипт в авз:
Логи RSIT новые приложите.
C:\WINDOWS\system32\drivers\vdk0mtqx.sys
Проверьте этот файл на www.virustotal.com и выложите ссылку на результаты.
Повторите логи. авз

_Darwin_ 16-07-2010 18:45 1454659
Вот:

C:\WINDOWS\system32\drivers\vdk0mtqx.sys:
http://www.virustotal.com/ru/analisi...4f6-1279290988

Логи прикреплены.

help? 16-07-2010 19:00 1454668
Почистили точку восстановления системы?Повторите логи авз!

_Darwin_ 23-07-2010 22:45 1459485
Вот....
не обновляется авира и блокируются все сайты популярных антивирусов.

help? 23-07-2010 23:18 1459503
_Darwin_, куда вы ушли в прошлый раз?:(
Пожалуйста, в этот раз не уходите.
Пофиксить:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\64cf360.exe,C:\WINDOWS\system32\tcwvue.exe,
Выполнить скрипт в авз:
Код:
begin
ExecuteRepair(20);
RebootWindows(true);
end.
Проблема должна исчезнуть, но:
Сделайте логи RSIT(я уже гворил как).

_Darwin_ 24-07-2010 07:09 1459645
скрипт выполнил, но
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\64cf360.exe,C:\WINDOWS\system32\tcwvue.exe,
не желает фикситься, просто спрашивает да\нет при нажатии да список очищается, но после перезагрузки или следующей проверке ничего не меняется.
Проблема осталась.

логи RSIT и еще раз HiJackThis в прикреплении

help? 24-07-2010 12:09 1459734
Пофиксите эту строку:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\64cf360.exe,C:\WINDOWS\system32\tcwvue.exe,
Не перезагружая компьютер:
Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
Код:
:Processes
explorer.exe

:Services

:Files
C:\WINDOWS\system32\tcwvue.exe
C:\WINDOWS\system32\64cf360.exe
C:\WINDOWS\system32\opgqeln.exe
C:\WINDOWS\system32\rkbfety.exe
C:\WINDOWS\system32\rihdrlr.exe
C:\WINDOWS\system32\wcopsxa.exe
C:\WINDOWS\system32\avuolbg.exe
C:\WINDOWS\system32\wtqvqkk.exe
C:\WINDOWS\system32\jerdku.exe
C:\WINDOWS\system32\uazjcji.exe
C:\WINDOWS\system32\oxbeaas.exe
C:\WINDOWS\system32\wfpnmqf.exe
C:\WINDOWS\system32\ehbteqs.exe
C:\WINDOWS\system32\dherxgv.exe
C:\WINDOWS\system32\ueshnmf.exe
C:\WINDOWS\system32\yfqqloe.exe
C:\WINDOWS\system32\qwemxpx.exe
C:\WINDOWS\system32\umwnkwu.exe
C:\Program Files\Common Files\keylog.txt

:Reg

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

Компьютер перезагрузится.
Пуск - Выполнить - Вввести route -f, нажать ОК и перезагрузиться.
Повторите логи RSIT+авз.
Или вы считаете, если нет проблем, то повторить логи это пустая трата времени?:(

_Darwin_ 25-07-2010 07:57 1460188
Проблемы больше нет. вроде

help? 25-07-2010 11:34 1460233
Выполните скрипт в авз:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\hlykqoa.exe','');
 QuarantineFile('abp480n5.sys','');
DeleteFile('C:\WINDOWS\system32\hlykqoa.exe');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit','C:\WINDOWS\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Повторить логи RSIT.

_Darwin_ 25-07-2010 16:46 1460339
выполнил, прикрепил

_Darwin_ 29-07-2010 16:50 1462976
теперь я здоров? просто хочется быть уверенным, скоро буду делать бекап диска

Drongo 30-07-2010 20:43 1463806
_Darwin_, Да, всё ок.


Время: 21:25.

Время: 21:25.
© OSzone.net 2001-