Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Вирус блокирует команду "Выполнить" (http://forum.oszone.net/showthread.php?t=212031)

Victoriya 27-07-2011 11:05 1720744
Вирус блокирует команду "Выполнить"
 
Вложений: 2
Здравствуйте!
После захода на некоторые сайты начались проблемы с компьютером:
-не удаётся запустить команду "Выполнить";
-при попытке зайти на сайт "Вконтакте" появляется поле ввода логина и пароля, а потом появляется окно с просьбой ввести телефон для отправки какого-то кода. Я изменяла файл hosts, после этого работает всё нормально, но при перезагрузке файл hosts опять подменяется вирусом;
-не заходит в Documents and Settings в папку Admin, а так же в папку Common Files;
Сканировала NODом, нашла кучу вирусов, но от проблем не избавилась :(
Помогите пожалуйста!

alex_sev 27-07-2011 11:29 1720760
Смотрю логи, скоро отвечу

Скачайте RKill by Grinler на рабочий стол по одной из этих ссылок:

Отключите антивирусное ПО и запустите программу.
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Дождитесь окончания работы программы и формирования лога который будет находиться по адресу C:\rkill.log. Прикрепите его к своему сообщению.

Не перезагружая компьютер, выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\documents and settings\admin\application data\lsass.exe');
 QuarantineFile('C:\WINDOWS\Installer\2076ca.msi','');
 QuarantineFile('c:\documents and settings\admin\application data\lsass.exe','');
 QuarantineFile('C:\WINDOWS\system32\2735.tmp','');
 QuarantineFile('C:\WINDOWS\system32\2736.tmp','');
 QuarantineFile('C:\WINDOWS\system32\drivers\Fs_soidv.sys','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\timing.txt','');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\lsass.exe');
 DeleteFile('C:\WINDOWS\system32\2735.tmp');
 DeleteFile('C:\WINDOWS\system32\2736.tmp');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\timing.txt');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(13);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив отправьте с помощью этой формы с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Повторите логи AVZ и RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Victoriya 27-07-2011 15:07 1720886
Вложений: 3
Всё сделала как вы сказали!
Теперь вроде как всё работает!
Большое спасибо!

alex_sev 27-07-2011 15:49 1720909
Удалите в MBAM только следующие строки:

Код:
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> No action taken.
c:\program files\Opera\0.07197713488523783.exe (Backdoor.Bot) -> No action taken.
c:\system32.exe (Trojan.Downloader) -> No action taken.
Если Вы не создавали этот файл найдите и удалите вручную:

Код:
C:\WINDOWS\system32\operaprefs_fixed.ini
Как самочувствие системы?

Victoriya 27-07-2011 17:11 1720973
Хорошо, спасибо, а остальные что за файлы?

С системой вроде пока всё в порядке :)

alex_sev 27-07-2011 17:22 1720981
Эти сейчас удалим другим способом:

Код:
c:\system volume information\_restore{44345dab-96e8-4d9a-a1c5-4c9f4f525f59}\RP115\A0022647.exe (Backdoor.Bot) -> No action taken.
c:\system volume information\_restore{44345dab-96e8-4d9a-a1c5-4c9f4f525f59}\RP118\A0022894.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{44345dab-96e8-4d9a-a1c5-4c9f4f525f59}\RP118\A0022891.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{44345dab-96e8-4d9a-a1c5-4c9f4f525f59}\RP118\A0023125.exe (Backdoor.Bot) -> No action taken.
d:\system volume information\_restore{44345dab-96e8-4d9a-a1c5-4c9f4f525f59}\RP118\A0022918.exe (Trojan.Downloader) -> No action taken.
d:\system volume information\_restore{44345dab-96e8-4d9a-a1c5-4c9f4f525f59}\RP118\A0022919.exe (Trojan.Downloader) -> No action taken.
d:\system volume information\_restore{64a6594c-09b9-45c8-8880-ba235290de43}\RP324\A0040738.EXE (Hacktool.Agent) -> No action taken.
d:\system volume information\_restore{64a6594c-09b9-45c8-8880-ba235290de43}\RP324\A0040772.EXE (Hacktool.Agent) -> No action taken.
Это Ваши кряки и кейгены MBAM их не любит, могут быть и вредоносны, на Ваше усмотрение:

Код:
d:\программы\abbyy finereader professional v8.0.706 (официальная русская версия)\Crack\twk-fr8fixpatch.exe (Trojan.Dropper) -> No action taken.
d:\программы\abbyy finereader professional v8.0.706 (официальная русская версия)\Crack\patch на finereader 8.0 professional edition\twk-fr8fixpatch.exe (Trojan.Dropper) -> No action taken.
d:\программы\для компа\coreldraw[3\Crack\cdrsuitkg.exe (RiskWare.Tool.CK) -> No action taken.
d:\программы\для компа\nero 6.6.0.8a\Keygen.exe (Trojan.Agent) -> No action taken.
d:\программы\файнридер\finereader 10\finereader.10.0.101.56\finereader.10.x.x-patch-plus.exe (PUP.Hacktool.Patcher) -> No action taken.
d:\программы\файнридер\finereader 10\finereader.10.0.101.56\finereader.10.x.x-unipatch.exe (PUP.Hacktool.Patcher) -> No action taken.
c:\program files\WinRAR\original\rar slayer v1.1.exe (Malware.Tool) -> No action taken.
Это RKill, которым мы воспользовались, его действия похожи на вредные (завершение процессов), но на самом деле используется для благих целей:

Код:
c:\documents and settings\Admin\рабочий стол\eXplorer.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
Внимание! Смените все пароли ICQ, Контакт, Почта итд

Необходимо очистить ранее созданную точку восстановления и создать новую:
1. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
2. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить


Для предотвращения заражения рекомендуется:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендуется использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и антивирусного продукта (обновлять антивирусные базы и модули)

Обновите до последних версий:

Victoriya 27-07-2011 20:43 1721069
Спасибо большое!
Всё сделала!

alex_sev 27-07-2011 22:29 1721151
Молодец, желаю больше не болеть

Victoriya 27-07-2011 23:08 1721168
Спасибо ещё раз :)


Время: 21:13.

Время: 21:13.
© OSzone.net 2001-