[решено] контрольная проверка системы после лечения

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

контрольная проверка системы после лечения

Всем привет!

С помощью gmer удалось убрать 3 маскированные службы + каспер удалил около 300 вирусов.
sp3 установлен

проверьте пожалуйста логи

Здравствуйте!

Код:

C:\WINDOWS\system32\svch2.dll

Проверьте этот файл на www.virustotal.com и дайте ссылку на результат проверки.

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(true);

 ClearQuarantine;

 QuarantineFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\jooke.exe','');

 QuarantineFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\goko.exe','');

 QuarantineFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\demap.exe','');

 QuarantineFile('C:\WINDOWS\system32\Drivers\rujrhkql.sys','');

 QuarantineFile('C:\WINDOWS\System32\Drivers\efiakasc.sys','');

 QuarantineFile('C:\Documents and Settings\Владелец\Application Data\Microsoft\lowyfoupi.exe','');

 QuarantineFile('C:\Documents and Settings\Владелец\Application Data\Microsoft\kigiquurou.exe','');

 QuarantineFile('C:\Documents and Settings\Владелец\Application Data\Microsoft\mouhoohu.exe','');

 DeleteFile('C:\Documents and Settings\Владелец\Application Data\Microsoft\mouhoohu.exe');

 DeleteFile('C:\Documents and Settings\Владелец\Application Data\Microsoft\kigiquurou.exe');

 DeleteFile('C:\Documents and Settings\Владелец\Application Data\Microsoft\lowyfoupi.exe');

 DeleteFile('C:\WINDOWS\System32\Drivers\efiakasc.sys');

 DeleteFile('C:\WINDOWS\system32\Drivers\rujrhkql.sys');

 DeleteFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\demap.exe');

 DeleteFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\goko.exe');

 DeleteFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\jooke.exe');

 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','quuquaquip');

 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','quuquaquip');

 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','riloosyz');

 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','riloosyz');

 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','topam');

 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','topam');

BC_ImportAll;

ExecuteSysClean;

 BC_DeleteSvc('j0u2zb9yiyy');

 BC_DeleteSvc('niuoa43near');

 BC_DeleteSvc('yvaey0ua');

 BC_DeleteSvc('efiakasc');

 BC_DeleteSvc('rujrhkql');

BC_Activate;

RebootWindows(true);

end.

После выполнения скрипта компьютер перезагрузится!

• После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip из папки AVZ через эту форму.

Сделайте новые логи AVZ + лог RSIT.

Подготовьте новый лог полного сканирования MBAM.

Код:

MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Обновите Internet Explorer до восьмой версии, даже если используете другой браузер.

Adobe Acrobat обновите до актуальной версии или деинсталлируйте.

Цитата:

Цитата zirreX

C:\WINDOWS\system32\svch2.dll »

его больше нет.

логи

seman, AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 ClearQuarantine;

 QuarantineFile('C:\Documents and Settings\Владелец\cfhkr.exe ','');

 DeleteFile('C:\Documents and Settings\Владелец\cfhkr.exe ');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

После выполнения скрипта компьютер перезагрузится.

Подготовьте новый ло RSIT.

Цитата:

Цитата zirreX

Подготовьте новый лог полного сканирования MBAM. »

Сделали?

Цитата:

Цитата goredey

Сделали? »

конечно.

Код:

Зараженные файлы:

C:\Documents and Settings\All Users\Application Data\common.data (Malware.Trace) -> Quarantined and deleted successfully.

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(true);

DeleteFile('C:\Documents and Settings\Владелец\Application Data\LH0LEEkfKg.txt');

DeleteFile('C:\Documents and Settings\Владелец\Application Data\bHAN76gd0k.txt');

DeleteFile('C:\Documents and Settings\Владелец\Application Data\BE1Ngd8hig.txt');

DeleteFile('C:\Documents and Settings\Владелец\Application Data\MlDE06imkg.txt');

DeleteFile('C:\Documents and Settings\Владелец\Application Data\idgGK7ljd7.txt');

DeleteFile('C:\Documents and Settings\Владелец\Application Data\kbJbK7e1CN.txt');

DeleteFile('C:\Documents and Settings\Владелец\cfhkr.exe');

DeleteFile('C:\WINDOWS\system32\drivers\rujrhkql.sys');

RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\MSConfig');

RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\efiakasc.sys');

RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\rujrhkql');

RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\SafeBoot\network\efiakasc.sys');

RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\SafeBoot\network\rujrhkql');

BC_ImportDeletedList;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip из папки AVZ через эту форму.

Подготовьте новый лог RSIT

Сделайте лог полного сканирования MBAM и прикрепите к сообщению.

ComboFix запускали? Если да, то можно взглянуть на лог?

Цитата:

Цитата zirreX

ComboFix запускали? Если да, то можно взглянуть на лог? »

Подготовьте новый лог ComboFix.

Перед запуском выгрузите ваш ESET NOD32 Antivirus 4.0.

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."

seman, будьте внимательны при выполнении повторного лога комбо
AV: ESET NOD32 Antivirus 4.0 *Enabled/Outdated*
в этот раз AV ПО надо отключить!!!!

Arbitr,
он не отключается и еще похоже просрочен.
я его удалю тогда.

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::



File::

c:\windows\002832_.tmp

c:\windows\DUMP66ed.tmp

c:\documents and settings\LocalService\Application Data\Microsoft\huvyfon.exe



Driver::

zu66sxisosu



Folder::



Registry::

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"5831:TCP"=-



FileLook::

c:\temp\78gps3dd.exe



DirLook::





FCopy::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

c:\temp\78gps3dd.exe - случайно не Dr.Web CureIt?

Сделайте новый лог полного сканирования MBAM и прикрепите к сообщению.

zirreX,

Цитата:

Цитата zirreX

Сделайте новый лог полного сканирования MBAM и прикрепите к сообщению. »

ВСЕ ЧИСТО.

Цитата:

Цитата zirreX

c:\temp\78gps3dd.exe - случайно не Dr.Web CureIt? »

нет. это gmer.

seman, по логу всё в порядке. Есть еще проблемы?

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall(Обязательно должен быть пробел между combofix и /u), нажмите кнопку "ОК"

Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Создайте новую контрольную точку восстановления и удалите зараженную:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно - Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли.

Смените пароли.

• Установите антивирусную программу.
• Обновите Internet Explorer до восьмой версии, даже если используете другой браузер.
• Обновите Adobe Reader до последней версии.

zirreX,
все ок. спасибо