Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] полетел ctfmon (http://forum.oszone.net/showthread.php?t=196278)

alexim 10-01-2011 19:09 1585420
полетел ctfmon
 
Скачала аську. Войти в программу так и не удалось, хотя данные вводились верно. Зато языковая панель теперь не работает: сначала перестали меняться и добавляться языки, а потом языки совсем пропали с языковой панели. Антивирус несколько раз блокировал вирус.
Логи:

zirreX 10-01-2011 20:10 1585489
Здравствуйте!

Почему делали логи из под Безопасного режима?

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".
Код:
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
end.

Пофиксите в HiJackThis
Отметьте галочками указанные строки и нажмите Fix Checked.
Код:
R3 - URLSearchHook: (no name) -  - (no file)
Вы добавили в надежные узлы?Если нет эту пофиксите строку.
Код:
O15 - Trusted Zone: http://software.kuaiche.com
Подготовьте логи AVZ и RSIT, загрузившись в нормальном режиме.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

alexim 12-01-2011 12:27 1586811
zirreX,
Цитата:
Цитата zirreX
Подготовьте логи AVZ и RSIT, загрузившись в нормальном режиме »
Что такое RSIT?
В нормальном режиме не грузится.

zirreX 12-01-2011 13:16 1586853
alexim, что происходит при попытке загрузиться в нормальном режиме?

Скачайте Dr.Web CureIt и просканируйте системный диск.

Подготовьте новые логи AVZ по инструкции ниже.
Как подготовить логи AVZ в безопасном режиме


Цитата:
Цитата alexim
Что такое RSIT? »
Скачайте RSIT или c зеркала. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Лог сканирования MBAM прикрепите.

alexim 12-01-2011 13:29 1586860
zirreX,
Цитата:
Цитата zirreX
Цитата zirreX:
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. »
где? »
ничего что в безопасном режиме будет сканироваться?

А в нормальном режиме вообще не грузится. Безопасный - и все. Загружаю, какие-то коды столбцом идут. Дальше вывешивает окно, что такое безопасный режим. Восстановление системы отключено, и нет значка, чтоб включить.

zirreX 12-01-2011 13:35 1586869
Цитата:
Цитата alexim
А в нормальном режиме вообще не грузится. Безопасный - и все. Загружаю, какие-то коды столбцом идут. Дальше вывешивает окно, что такое безопасный режим. Восстановление системы отключено, и нет значка, чтоб включить. »
Пуск -- Выполнить -- ввести msconfig -- меню Загрузка, снимите галочку с Безопасного режима -- Ok и пробуйте грузится.

Если удастся загрузиться, подготовьте все логи из нормального режима.

alexim 17-01-2011 13:15 1590602
zirreX,
вот логи.

SolarSpark 17-01-2011 13:28 1590613
Удалено и взято в карантин - не восстанавливать
Код:
c:\Windows\System32\secushr.dat (Malware.Trace) -> Quarantined and deleted successfully.
остальные кенгены можете восстановить из карантина (на ваше усмотрение могут содержать трояны)

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\A261~1\AppData\Local\Temp\6135Rjba.sys','');
DeleteFile('C:\Users\A261~1\AppData\Local\Temp\6135Rjba.sys');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet  Settings\Zones\3\', '1804', 1);
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('C:\Users\A261~1\AppData\Local\Temp\6135Rjba.sys');
BC_DeleteSvc('6135Rjba');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

повторите логи AVZ и напишите как самочувствие

alexim 17-01-2011 17:41 1590859
maniy77, при попытке выполнить первый скрипт (который побольше) пишет: ошибка: expected ";" в позиции 11:1

SolarSpark 17-01-2011 17:46 1590864
alexim, Извините, ошибка исправлена, можете выполнять.

alexim 17-01-2011 17:49 1590868
а как? просто опять скопировать?

SolarSpark 17-01-2011 17:52 1590869
Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

http://forum.oszone.net/post-1430637-4.html

alexim 17-01-2011 19:00 1590905
maniy77,
ответ в письме по файлу quarantine.zip: [VirLabSRF][Malicious program description][M:1][LN:RU][L:0][KLAN-108422101]
или это не то?
и логи avz

языковая панель работает. все ок.

SolarSpark 17-01-2011 19:59 1590950
Деинсталлируйте Malwarebytes' Anti-Malware .

• Выполните скрипт AVZ
AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
end.
В качестве рекомендаций! Если это вам не нужно

Цитата:
Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
>> Разрешен автозапуск со сменных носителей
рекомендую выполнить скрипт, чтобы закрыть уязвимости и отключить автозапуск со сменных носителей

Код:
begin
SetServiceStart('TermService', 4);
SetServiceStart('SSDPSRV', 4);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
end.
Далее
Создайте новую контрольную точку восстановления и очистите заражённую:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
  1. скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
  2. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
  3. нажмите No, если вы хотите оставить ваши сохраненные пароли
  4. если вы используете Opera, нажмите Opera - Select All - Empty Selected
  5. нажмите No, если вы хотите оставить ваши сохраненные пароли
Рекомендуем для предотвращения заражения:
- не работать за компьютером с правами администратора
- в Internet Explorer отключить ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и обновлять антивирусные базы.

alexim 18-01-2011 11:46 1591336
Скрипты сделала. С компом порядок. Большое спасибо за помощь!

SolarSpark 18-01-2011 11:46 1591338
И я вас благодарю, закрывайте тему


Время: 17:54.

Время: 17:54.
© OSzone.net 2001-