Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Вирус не удаляется (http://forum.oszone.net/showthread.php?t=181669)

Lenick 28-07-2010 23:49 1462544
Вирус не удаляется
 
Вложений: 1
Просьба помочь - антивирус avira обрарудивает вмрус TR/Patched.GR.8, а удалить его невозможно... логи высылаю...

Заранее спасибо!

iskander-k 29-07-2010 20:56 1463141
  1. Отключите интернет и локальную сеть если таковая имеется.
  2. Очистите временные файлы.
    Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner.
    • Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    • Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
    • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
    • Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
    • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
  3. Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих.
    • Создание новой точки восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
    • Очистка всех предыдущих точек восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Очистка диска, выберите системный диск, на вкладке Дополнительно > Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.

* Подробнее можно прочитать в этой теме.

HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis
Код:
O4 - HKLM\..\Run: [Windows Data Serivce] system32.exe
O4 - HKLM\..\Run: [NetworkShareSessionManager] C:\WINDOWS\system32\nssm.exe
O21 - SSODL: UpdateCheck - {ED8A27E1-4A1D-4518-BBCC-7C65DC07E90E} - (no file)
Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\system32\nssm.exe');
 TerminateProcessByName('c:\windows\system32.exe');
 QuarantineFile('c:\windows\system32\nssm.exe','');
 QuarantineFile('c:\windows\system32.exe','');
 QuarantineFile('c:\temp\tccpuinfo.sys','');
 QuarantineFile('d:\autorun.inf','');
 QuarantineFile('e:\autorun.inf','');
 DeleteFile('c:\windows\system32\nssm.exe');
 DeleteFile('c:\windows\system32.exe');
 DeleteFile('c:\temp\tccpuinfo.sys');
 DeleteFile('d:\autorun.inf');
 DeleteFile('e:\autorun.inf');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NetworkShareSessionManager');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','NetworkShareSessionManager');
 DeleteService('tccrystalcpuinfo');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(20);
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

Lenick 30-07-2010 10:07 1463363
Спасибо, сегодня отправила quarantine.zip (от [email]). Все сделала, как Вы написали!

Drongo 30-07-2010 14:08 1463525
Lenick, Сделайте повторные логи и что с проблемой?

Lenick 31-07-2010 12:08 1464012
Вирус остался.... там же сидит и плодит другие вирусы, их антивирус удаляет по 5-6 раз на дню! Логи сегодня сделаю!

Lenick 31-07-2010 13:14 1464048
Вложений: 1
Вот логи, гадкий вирус плодит другие вирусы, грузит систему (запускает кучу процессов, загрузка ЦП =100%), если оставить интернет включенным и уйти на полчасика - все повитнет и не отвиснет - спасет только перезагрузка. Что делать??? Я отправила quarantine.zip по ссылке и получила ответ:

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

autorun.inf,
autorun_0.inf

Файлы в процессе обработки.

nssm.exe,
system32.exe - Trojan.Win32.Jorik.Blazebot.i

Детектирование файлов будет добавлено в следующее обновление.

Когда будет ответ от умных людей - не знаю... С таким "гадом" в первый раз сталкиваюсь... Спрашивается, какой антивирус ставить простым смертным, если только один AVIRA обнаруживает такие вирусы, но ничего сделать с ними не может???

Lenick 31-07-2010 13:15 1464050
Вложений: 1
Вот мои логи

iskander-k 31-07-2010 15:28 1464108
Вы наверное флэшку после лечения вставляли ?

Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\system32\nssm.exe');
 QuarantineFile('c:\windows\system32\nssm.exe','');
 QuarantineFile('c:\windows\system\csrss.exe','');
 DeleteFile('c:\windows\system32\nssm.exe');
 DeleteFile('c:\windows\system\csrss.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NetworkShareSessionManager');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','NetworkShareSessionManager');
 DeleteService('nrconnmags');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.


Скачайте и запустите Kaspersky Virus Removal Tool 2010 http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/

инструкция http://support.kaspersky.ru/viruses/avptool2010

Lenick 01-08-2010 21:57 1464815
не качается Kaspersky Virus Removal Tool 2010 ... пишет:

Forbidden.
Access to the requested resource was forbidden.


--------------------------------------------------------------------------------

httpd

Lenick 01-08-2010 22:13 1464823
Флешку я не вставляла после лечения, не вставляла и после выполнения данного скрипта. Однако антивирус опять 8 висусов нашел, 6 из них удалил, а те 2 шт. TR/Patched.GR.8 опять остались. Еще вопрос, эти 6 удаленных вирусов видимо в процессе активации антивирус уже замечал, выводил мне список действий в его отношении, я каждый раз выбирала DELETE, однако, они оказались не удалены.... Почему это может быть?

thyrex 01-08-2010 22:50 1464845
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Lenick 02-08-2010 23:04 1465615
Вложений: 1
вот и файл C:\ComboFix.txt

thyrex 02-08-2010 23:12 1465619
Что сейчас с проблемой?

Lenick 02-08-2010 23:26 1465625
И все равно вирус никуда не делся, гад!!!

Его находит только AVIRA, но удалить не может!!!!

thyrex 03-08-2010 02:13 1465687
В каком файле?

Lenick 03-08-2010 20:41 1466233
kernel32.dll так поняла, что этот файл системный. удалить его не получается...

thyrex 03-08-2010 21:58 1466283
Проверьте этот файл на virustotal
Ссылку на результат проверки сообщите

Lenick 04-08-2010 19:45 1466869
ссылка вот http://www.virustotal.com/ru/analisi...b4c-1279625503

thyrex 05-08-2010 00:25 1467031
Результат проверки двухнедельной давности. Повторите проверку, выбрав что-то наподобие Повторить проверку сейчас

Lenick 06-08-2010 22:15 1468544
вот, сделала

http://www.virustotal.com/ru/analisi...b4c-1281118435

thyrex 06-08-2010 22:23 1468550
Скорее похоже на ложное срабатывание Вашего антивируса. Если система нелицензионная, файл может быть просто пропатчен

Lenick 07-08-2010 12:33 1468766
система нелицензионная, это точно. Но несколько лет проблем не было. Это раз. Проблемы начались сразу после смены провайдера. Как только специаличты компании "ЭР-ТЕЛЕКОМ" (Дом. ру) ушли после установки, начались проблемы. В частности, если уйти куда-либо, оставив интернет включенным, то минут через 10-15 появляется окно такого плана "память обратилась по адресу ххххх, не может быть read, нажмите OK для отладки, отмена - для завершения приложения. Если что-либо нажать, интернтет отключается, а у меня на компьютере он типа включен, отключить себя не позволяет. спасает только перезагрузка. Во вторых, процесс svghost запускается много раз, от его имени запускаются еще процессы, в результате загрузка процессора становится 100% при отстутсвии большого количества запущенных приложений. Я бы тоже грешила на систему, но как-то подозрительно совпало.... Представители провайдера говорят, что дело или в операционке, или часто это бывает от вирусов...


Время: 17:51.

Время: 17:51.
© OSzone.net 2001-