Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Подозрения на вирусы (http://forum.oszone.net/showthread.php?t=208454)

Darkan 07-06-2011 15:27 1689989
Подозрения на вирусы
 
Добрый день!
У подруги случилась беда, подвис скайп и с тех пор не заходило в него, после переустановки поле "логин" окрасилось в черный цвет и ничего ввести нельзя. Ну я недолго думая сразу сделал логи, чтоб обратиться сюда! Дело в том, что и антиврус некоторое время не обновлялся, скорей всего несколько недель, что и подтолкнуло меня сделать логи.
Пожалуйста, проверьте, что, да как там, всё делал при помощи Team Viewer 6. Заранее спасибо!

И в ещё, файл Hosts был пуст, я его заполнил стандартным содержанием.

Farger 07-06-2011 15:48 1690004
Здравствуйте,

Сейчас посмотрю логи.

Добавлено позже:

Вам уже ответили...

zirreX 07-06-2011 15:52 1690008
● Выполните скрипт в AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\apppatch\wgojtgg.dat','');
 QuarantineFile('C:\WINDOWS\apppatch\vrxybo.dat','');
 DeleteFile('C:\WINDOWS\apppatch\vrxybo.dat');
 DeleteFile('C:\WINDOWS\apppatch\wgojtgg.dat');
DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
 DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
DeleteFileMask('C:\Documents and Settings\Admin\Application Data\e77e5c05','*.*', true);
DeleteDirectory('C:\Documents and Settings\Admin\Application Data\e77e5c05');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".
Код:
begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи формы http://oszone.net/virusnet

Пофиксить в hijackthis:
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\apppatch\wgojtgg.dat,C:\WINDOWS\apppatch\wgojtgg.dat,C:\WINDOWS\apppatch\vrxybo.dat,
Сделайте новые логи AVZ & RSIT.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Darkan 07-06-2011 17:11 1690083
Спасибо за ответ!
Скрипт выполнил, пофиксил всё, кроме строчки F2, т.к. её не было в списке!

Логи прилагаю!

zirreX 07-06-2011 17:13 1690085
Darkan, по поводу Skype
http://lenta.ru/news/2011/06/07/skype/

VPetsPlayer устанавливали?

В логах чисто.

Что-то еще беспокоит?

Можете восстановить, это ложное срабатывание.
Код:
Заражённые файлы:
c:\program files\total commander\Plugins\arc\Default.sfx (Malware.Packer.Gen) -> Quarantined and deleted successfully.
c:\program files\total commander\Soft\fitW\fitW.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.

Darkan 07-06-2011 17:36 1690103
Цитата:
Цитата zirreX
VPetsPlayer устанавливали? »
Да, устанавливали.

В общем всё вроде бы нормально! Спасибо большое!)

zirreX 07-06-2011 17:43 1690108
Создайте новую контрольную точку восстановления и удалите предыдущие.
http://safezone.cc/forum/showthread.php?t=2065

Java обновить до последней версии.


Время: 08:01.

Время: 08:01.
© OSzone.net 2001-