Помогите, вирус! - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - Помогите, вирус! (http://forum.oszone.net/showthread.php?t=221191)

Помогите, вирус!

Доброго времени суток!

Ко мне на нетбук(это важно, т.к. нет CD-рома) попал вирус. Не дает устанавливать антивирусы - просит ввести код активации http://saveimg.ru/show-image.php?id=...709f01d63a4bdf причем даже смс отправить не просит, просто вот такое окно выдает. Так же не дает зайти на многие сайты, в частности сайты с онлайн антивирусами - http://saveimg.ru/show-image.php?id=...f91185d15439b5 .

Так же вирус не дает запускать браузеры кроме IE(причем только старых версия типа 5.0, 6.0) - на краткое время помогает восстановление системы, но через несколько часов мой ГуглХром умирает опять(то же с Сафари, файрфоксом и весиями IE 7,8). Ранее этот же вирус блокировал возможность видеть скрытые файлы и папки - помог скриптик:

Dim WshShell, bKey
Set WshShell = WScript.CreateObject("WScript.Shell")

On Error resume next
WshShell.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools"
WshShell.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableCMD"
WshShell.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions"
WshShell.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoBrowserOptions"
WshShell.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr"
WshShell.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden", "1", "REG_DWORD"
WshShell.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt", "0", "REG_DWORD"
WshShell.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden", "1", "REG_DWORD"
WshShell.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\WebViewBarricade", "1", "REG_DWORD"
WshShell.RegWrite "HKCR\exefile\shell\open\command\", "%1 %*" , "REG_SZ"

С помощью тем этого форума смог установить AVZ, он что-то выловил и вычистил, однако явно не все. Помогите разобраться с бедой!

привет

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 QuarantineFile('c:\windows\system32\02.tmp','');

 DeleteFile('c:\windows\system32\02.tmp');

 DeleteService('euxlyh');

 DeleteService('jmgjvqtn');

 DeleteService('tnxzdp');

 DeleteService('zfoovfnp');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

ExecuteWizard('SCU',2,3,true);

RebootWindows(true);

end.

После выполнения скрипта компьютер перезагрузится!

в обязательном порядке скачайте и установите критические обновления windows
особенное внимание обратите на эти заплатки
MS08-067
MS08-068
MS09-001
+ к вышесказанным рекомендациям
Установите пароль на учетную запись администратора, если пароль установлен, то убедитесь в его сложности (qwert или 1234 не есть сложный пароль)
Отключите автозапуск программ с различных носителей, кроме CDROM. Пуск - выполнить - cmd (запуск от имени администратора). В окно командной строки скопируйте и вставьте команду:

Код:

REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 221

Нажмите enter. Для подтверждения перезаписи нажмите Y.

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

Sections
IAT/EAT
Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

если GMER не работает не запустится

Воспользуйтесь графической оболочкой для kidokiller - Quick Killer - GUI для консольных утилит Лаборатории Касперского. Скачайте архив. Запустите утилиту QuickKiller.exe

1. Установите переключатель в положение KidoKiller
2. Установите галочку Записать в лог 'report'
3. Установите галочку Удаление остатков служб оставшихся после вируса
4. По окончании не ждать нажатия любой клавиши...
5. Нажмите кнопку Выполнить

Дождитесь окончания сканирования и после чего в папке из которой был запущен QuickKiller появится лог report-[Kido].txt прикрепите его к сообщению.

Сделайте повторные логи AVZ + выполните лог RSIT

Благодарю за удивительно быстрый ответ!)

Цитата:

Цитата SolarSpark

После выполнения скрипта компьютер перезагрузится! »

После выполнения скрипта и перезагрузки вообще все браузеры перестали работать) Пришлось опять откатывать систему.

Цитата:

Цитата SolarSpark

в обязательном порядке скачайте и установите критические обновления windows
особенное внимание обратите на эти заплатки
MS08-067
MS08-068
MS09-001 »

Зайти на сайт микрософта также не могу, подскажите пожалуйста, возможно ли скачать эти заплатки откуда либо еще?

Цитата:

Цитата SolarSpark

Отключите автозапуск программ с различных носителей, кроме CDROM. »

+ сделал.

Цитата:

Цитата SolarSpark

Сделайте повторные логи AVZ + выполните лог RSIT »

повторные логи сделал. про "выполните лог RSIT" - не понял, что значит выполнить... включил RSIT и сделал повторные логи. все логи, в т.ч. от GMER, прикладываю к теме.

заплатки в архиве "новая папка", скачайте мое вложение

Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится h1ud191q.exe случайное имя утилиты (gmer)

Код:

h1ud191q.exe -del service fqoeb

h1ud191q.exe -del file "C:\WINDOWS\system32\pjiuqchy.dll"

h1ud191q.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\fqoeb"

h1ud191q.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\fqoeb"

h1ud191q.exe -reboot

И запустите сохранённый пакетный файл cleanup.bat.
Внимание: Компьютер перезагрузится!
Сделайте новый лог gmer.

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 QuarantineFile('c:\windows\system32\02.tmp','');

 DeleteFile('c:\windows\system32\02.tmp');

 DeleteService('euxlyh');

 DeleteService('jmgjvqtn');

 DeleteService('tnxzdp');

 DeleteService('zfoovfnp');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

ExecuteWizard('SCU',2,3,true);

ExecuteRepair(6);

RebootWindows(true);

end.

Включено автоматическое обновление ("Панель управления", компонент "Автоматическое обновление" (Windows Update)?

поставьте ВСЕ обновления безопасности.

После выполнения скрипта компьютер перезагрузится!

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM