Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Помогите избавится от вирусов (все логи в теме) (http://forum.oszone.net/showthread.php?t=205402)

Kinqui 22-04-2011 11:38 1663786
Помогите избавится от вирусов (все логи в теме)
 
Попался на вирус key logger . Если бы не увидел значок в трее , был бы пипец.

1)Закрываются все окна
2)Сбой flash
3)в дз странная задача smss.exe Но система не может ее завершить так как говорит что это системный процесс

Все логи ниже

Логи HiJackThis


Логи avz

iskander-k 22-04-2011 13:46 1663895
Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('f:\autorun.inf','');
QuarantineFile('C:\WINDOWS\Home\KeyLogger.Dll','');
 DeleteFile('C:\WINDOWS\Home\KeyLogger.Dll');
 DeleteFile('f:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте через форму или на quarantine<at>virusnet.info (at=@) с указанной ссылкой на тему и вашим ником(именем на форуме). , в названии темы укажите - "Проверка карантина". В теле сообщения укажите адрес своей темы и ник форуме. Результаты ответа, сообщите здесь, в теме.

HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis
Код:
O20 - Winlogon Notify: RWLN - RWLN.dll (file missing)

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Kinqui 22-04-2011 14:57 1663916
Все сделал. Только проблемы с HiJackThis. Как бы сказать. Все сделал по пунктам создалась папка backups, в ней был файл я открыл его блокнотом и вроде бы он профиксил. Но я как бы нечаянно его удалил, думал щас восстановлю из корзины файл но его там почему то не оказалось. Решил сделать Remove. Сделал все по пунктам но номера 020 почему то там не оказалось а идет 017 и потом 022

iskander-k 22-04-2011 20:20 1664061
Лог МБАМ давайте пожалуйста.

Kinqui 22-04-2011 21:04 1664081
в том то и дело вирус закрывает сам все антивирусные программы. И я не могу до кона проверить комп

iskander-k 22-04-2011 23:22 1664156
•Скачайте ComboFix или здесь или здесь и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Как использовать ComboFix
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe.

Kinqui 23-04-2011 09:57 1664270
Успел проверить и Combofix и Malwarebytes Anti-Malware

Вот логи

Kinqui 23-04-2011 18:45 1664454
жду)

iskander-k 23-04-2011 20:41 1664519
Удалите всё что нашел МБАМ.

Программу Remote Manipulator Files - вы сами устанавливали ?
Судя по тому, что у вас сборка- наврядли вы сами её устанавливали. Чья у вас сборка ?

• Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение.
Код:
KillAll::

File::
c:\windows.0\UnGins.exe

Driver::

Folder::

Registry::

FileLook::

DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.



Когда сохранится новый отчёт ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Kinqui 23-04-2011 21:45 1664571
сборка windows - game edition

Remote Manipulator Files Вряд ли я такое устанавливал.

Логи выложу чуть позже

Если компьютер не перезагрузится после проверки, то выполню все действия хоть сейчас.

Kinqui 23-04-2011 22:26 1664606
Лог ComboFix

Kinqui 23-04-2011 22:44 1664621
Кароче все прояснилось. Попался на кей логер я от своего друга. Он склеил вирус с программой Clickmer (тренеровка реакции) и дал мне. Ну я как идиот запустил.

iskander-k 23-04-2011 23:06 1664633
Цитата:
Цитата Kinqui
Remote Manipulator Files Вряд ли я такое устанавливал. »
удалите её - она позволяет управлять вашим компьютером.

• Для деинсталяции ComboFix с компьютера необходимо выполнить:
Нажать Пуск затем Выполнить в окне наберите команду Combofix /u (обязательно нужен пробел между х и /), нажмите кнопку "ОК"



Или скачайте OTCleanIt, зеркало OTCleanIt, запустите, нажмите Clean up.

Активного заражения не вижу.

Kinqui 23-04-2011 23:30 1664651
Воспользовался утилитой OTCleanIt. Компьютер ребутнулся но значок ComboFix на рабочем столе остался.
И как удалить Remote Manipulator Files ?

Kinqui 24-04-2011 11:20 1664782
Еще вопросик. Есть ли у меня странные процессы ?

iskander-k 24-04-2011 13:39 1664834
Цитата:
Цитата Kinqui
Еще вопросик. Есть ли у меня странные процессы ? »
snoopfreeui-сами устанавливали ?
Цитата:
Цитата Kinqui
И как удалить Remote Manipulator Files ? »
через панель управления- установка\ удаление программ.

Kinqui 24-04-2011 14:20 1664856
snoopfreeui Сам устанавливал. Говорили от key loggera помогает


В панели управления \ удаление программ не нашел

iskander-k 24-04-2011 17:05 1664930
Удаление Remote Manipulator Files

Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 SetServiceStart('RManService', 4);
 StopService('RManService');
 QuarantineFile('C:\WINDOWS.0\system32\RWLN.dll','');
 QuarantineFile('C:\WINDOWS.0\system32\catroot3\rversionlib.dll','');
 QuarantineFile('c:\windows.0\system32\catroot3\rutserv.exe','');
 QuarantineFile('c:\windows.0\system32\catroot3\rfusclient.exe','');
 DeleteFile('c:\windows.0\system32\catroot3\rfusclient.exe');
 DeleteFile('c:\windows.0\system32\catroot3\rutserv.exe');
 DeleteFile('C:\WINDOWS.0\system32\catroot3\rversionlib.dll');
 DeleteFile('C:\WINDOWS.0\system32\RWLN.dll');
DeleteService('RManService');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Обновите базы АВЗ и новые логи АВЗ сделайте.

Kinqui 24-04-2011 18:43 1664978
скачал новый авз . Обновил авз. А как новые логи сделать ? Я забыл)

iskander-k 24-04-2011 19:25 1665000
Выложите логи в соответствии с этими инструкциями.

Kinqui 24-04-2011 22:47 1665094
извините за задержку. Выложу логи завтра. Сегодня никак

Kinqui 27-04-2011 06:15 1666388
я наконец освободился. Предоставляю все логи

iskander-k 27-04-2011 20:01 1666821
Это ваш провайдер ? Эти адреса вам знакомы ?
Код:
217.30.243.130 195.161.15.19

217.30.243.130
address: TATINTELCOM
address: Lavrentieva 3
address: 420126 Kazan Tatarstan
address: Russia
Активного заражения не вижу .
что с проблемой ?

Kinqui 29-04-2011 14:38 1667542
Почему не дошло мое сообщение?

Вообщем

address: TATINTELCOM
address: Lavrentieva 3

не знакомо . Остальное все мое (только вот индекс 420126 хз чей)

И еще. Помогите удалить антивирус нод32 . Он ошибки при удалении писал. Пользовался программой специальной для удаления нода, она у меня не работает.

Еще. Проблема с микрофоном . Почему то не работает.
Звуковуха REALTEK. Звук есть (немного барахлит) А вот сам микрофон не работает. У друга вчера взял другой микрофон. Также не работает

провайдер у меня билайн

iskander-k 29-04-2011 19:00 1667660
Цитата:
Цитата Kinqui
Почему не дошло мое сообщение? »
Какие-то проблемы с сервером.
Цитата:
Цитата Kinqui
Еще. Проблема с микрофоном . Почему то не работает.
Звуковуха REALTEK. Звук есть (немного барахлит) »
попробуйте удалить и переустановить драйвера.

Цитата:
Цитата Kinqui
Помогите удалить антивирус нод32 . »
Попробуйте воспользоваться инфо http://forum.oszone.net/thread-148474.html - п.4 - Общие вопросы -

Kinqui 30-04-2011 09:25 1667882
я пробовал переустанавливать дрова от r 22 до последней 29 вроде. Все Также (

Пунктом 4 не получается


Время: 11:49.

Время: 11:49.
© OSzone.net 2001-