Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Очень нужна Ваша помощь! (http://forum.oszone.net/showthread.php?t=189002)

aztekium 21-10-2010 21:23 1524307
Очень нужна Ваша помощь!
 
Доброго времени суток, господа.
Проблема следующая, пару дней назад перестал запускаться nod32, поисковики Explorer и firefox.
В интернет можно зайти обходными путями через мейл агент.
AVZ и hijack this запустить не могу, cureit запускается, но ничего не находит.
Прочитал про combofix, все сделал, файл прилагаю.
Пожалуйста, помогите с решением проблемы.
Заранее, большое спасибо!

С уважением, Дмитрий!

zirreX 21-10-2010 22:19 1524360
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::


File::
c:\windows\system32\4b716b85.exe
c:\windows\system32\ae29ecee.exe
c:\windows\system32\'dnЂ
c:\windows\system32\bfb592bf.exe
c:\windows\system32\aqcvmqz.exe

Driver::
dgjjlu
evrgg
fgmrgs
higqqrtj
epctx
urvptzntb
tqjmwfrap

NetSvc::
evrgg
fgmrgs
higqqrtj
epctx
urvptzntb
tqjmwfrap

Folder::
c:\program files\Common Files\27A9C603a
c:\program files\Common Files\27A9C5FBa

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8722:TCP"=-
"15428:TCP"=-
FileLook::

DirLook::


FCopy::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ с паролем virus и отправьте на quarantine@virusnet.info с указанием в заголовке письма ссылки на тему.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

aztekium 21-10-2010 23:33 1524418
Сделал.

zirreX 22-10-2010 00:41 1524446
Что с проблемами?

Установите Internet Explorer 8


Удалить в MBAM
Код:
C:\System Volume Information\_restore{1991054D-31F3-45FE-BC22-C7915AEE753C}\RP2\A0001249.exe (Spyware.Passwords.XGen) -> No action taken.
C:\Qoobox\Quarantine\C\Documents and Settings\1\Главное меню\Программы\Автозагрузка\chkntfs.exe.vir (Spyware.Passwords.XGen) -> No action taken.

Эти на ваше усмотрение:
Код:
C:\Documents and Settings\1\Рабочий стол\Windows Genuine Advantage Validation 1.9.40.0 v2\AntiWPA_Crypt.dll (Hacktool) -> No action taken.
C:\Nero-7.9.6.0_rus\Nero-7.9.6.0_rus\Keygen.exe (RiskWare.Tool.CK) -> No action taken.
D:\Adobe Acrobat 7.0 Professional\Руссификатор Adobe_Acrobat_7[1].0.exe (Malware.Packer.Gen) -> No action taken. 
D:\Windows Genuine Advantage Validation 1.9.40.0 v2\AntiWPA_Crypt.dll (Hacktool) -> No action taken
C:\WINDOWS\system32\oobe\AntiWPA_Crypt.dll (Hacktool) -> No action taken.

akok 22-10-2010 10:08 1524593
bfb592bf.exe - Trojan.Win32.Jorik.Shiz.ff
chkntfs.exe.vir - Trojan.Win32.Patcher.fu

aztekium 22-10-2010 18:40 1524977
Fedin, огромное вам спасибо! Всё сделал, система работает отлично.
Combofix деинсталировал.
Ещё раз огромное спасибо.

С уважением, Дмитрий!

zirreX 22-10-2010 19:15 1524990
Пожалуйста! :)

Обновите Adobe Reader до версии 9.4

Создайте новую контрольную точку восстановления и удалите зараженную:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно - Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли.


Для предотвращения заражения рекомендую вам придерживаться этих правил:
1.Не работайте с правами администратора
2.Используйте браузер Firefox с дополнением NoScript
Если вы используете браузер Internet Explorer, отключите в нем ActiveX (Сервис -> свойства обозревателя -> безопасность -> другой -> запуск элементов ActiveX и модулей подключения
3.Устанавливайте все важные обновления Windows.
4.Ежедневно обновляйте антивирусные базы.

Удачи!


Время: 18:55.

Время: 18:55.
© OSzone.net 2001-