Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Пытался избавиться от процесса derm32.exe, но... (http://forum.oszone.net/showthread.php?t=240908)

IvanXD 19-08-2012 19:52 1972901
Пытался избавиться от процесса derm32.exe, но...
 
Вложений: 2
Возник у меня на компьютере процесс, который грузил ЦП. Набрал в интернете: вылезла тема на форуме.
http://forum.oszone.net/thread-240699.html
Попытался сделать подобное, но не получилось: процесс пропал, а интернета нету. Только скайп работает, а браузер страницы не открывает. Что мне сейчас делать???
У меня в отличии от пользователя в этой теме http://forum.oszone.net/thread-240699.html , стоит windows XP. ПОМОГИТЕ, ПОЖАЛУЙСТА!!!

S.R 19-08-2012 20:10 1972905
Выполните http://forum.oszone.net/thread-98169.html

IvanXD 19-08-2012 21:30 1972937
Диагностику выполнил вложения сделал! :)

alex_sev 19-08-2012 21:42 1972944
Сейчас поглядим

Первое:

Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\Администратор.USER\Главное меню\Программы\Автозагрузка\hw9xk3lu7.exe','');
 QuarantineFile('=.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\0.7544285250632677.exe','');
 DeleteFile('C:\Documents and Settings\Администратор\0.7544285250632677.exe');
 DeleteFile('=.exe');
 DeleteFile('C:\Documents and Settings\Администратор.USER\Главное меню\Программы\Автозагрузка\hw9xk3lu7.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','GEST');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\Documents and Settings\Администратор.USER\Local Settings\Temp\derm32.exe');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'software\microsoft\shared tools\msconfig\startupreg\S1626156');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'software\microsoft\shared tools\msconfig\startupreg\S185181103');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'software\microsoft\shared tools\msconfig\startupreg\S188187');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'software\microsoft\shared tools\msconfig\startupreg\S595844');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'software\microsoft\shared tools\msconfig\startupreg\S6042172');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Второе:

Подготовьте лог OTL by OldTimer

IvanXD 19-08-2012 22:27 1972976
Я отправил с помощью формы. Лог имеется:)

alex_sev 19-08-2012 22:36 1972979
Так выкладывайте

IvanXD 19-08-2012 22:50 1972988
Написал, что отправилось( Сейчас посмотрю в чем дело...

alex_sev 19-08-2012 22:54 1972992
Скорее всего размер большой запакуйте в архив и прикрепите

IvanXD 19-08-2012 22:59 1972996
пришлю на почту!

alex_sev 19-08-2012 23:00 1972997
Я не про карантин, он то давно дошел, я про лог OTL.

IvanXD 19-08-2012 23:06 1972999
ступил) все исправлю

IvanXD 19-08-2012 23:22 1973005
Исправился) прислал на почту

alex_sev 19-08-2012 23:41 1973013
Эх, ладно сделаю исключение, в следующий раз уясните:
Карантины на почту или по форме.
Логи сюда или на файлообменники.

Антивирусным вендорам Ваши логи ни к чему - им только сами зловреды отправляются.
  • Запустите повторно OTL by OldTimer или OTL.com или OTL.scr.

    Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  • В окно Custom Scans/Fixes скопируйте следующую информацию:

    Код:
    :processes

    :OTL
    IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com/?st=1&barid={44757DEF-DC93-11E0-865B-001FD09F9C6C}
    IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=bf2&s={searchTerms}&f=4
    IE - HKLM\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847}
    IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&st=1&q={searchTerms}&barid={44757DEF-DC93-11E0-865B-001FD09F9C6C}
    IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
    IE - HKCU\..\SearchScopes\{F857121E-A9E5-4fb4-8C54-C2851C5F22C9}: "URL" = http://search.ticno.com/?c=t&q={searchTerms}
    O2 - BHO: (no name) - {8984B388-A5BB-4DF7-B274-77B879E179DB} - No CLSID value found.
    O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - No CLSID value found.
    O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - No CLSID value found.
    O3 - HKLM\..\Toolbar: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found.
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{1583C705-C3D0-4E65-BD3D-EB2DE6333A21}: NameServer = 127.0.0.1
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{8C7D6CF3-D6E7-42C6-BDD8-70D873FB78EA}: DhcpNameServer = 127.0.0.1
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{8C7D6CF3-D6E7-42C6-BDD8-70D873FB78EA}: NameServer = 127.0.0.1
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{D0EBDC3B-033A-4F83-8952-57F05ABC0E84}: DhcpNameServer = 127.0.0.1
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{D0EBDC3B-033A-4F83-8952-57F05ABC0E84}: NameServer = 127.0.0.1
    [2012.08.13 12:40:10 | 000,009,246 | --S- | M] () -- C:\Documents and Settings\Администратор.USER\Application Data\hw9xk3lu7.dat
    [2012.08.13 12:39:54 | 000,000,032 | ---- | M] () -- C:\Documents and Settings\Администратор.USER\flh.dat
    [2012.08.14 13:04:02 | 000,000,479 | ---- | M] () -- C:\Documents and Settings\Администратор.USER\dpconfig
    [2012.08.14 13:04:02 | 000,000,056 | ---- | M] () -- C:\Documents and Settings\Администратор.USER\pconfig
    [2012.08.13 12:40:08 | 000,009,246 | --S- | C] () -- C:\Documents and Settings\Администратор.USER\Application Data\hw9xk3lu7.dat
    [2012.08.13 12:39:52 | 000,000,479 | ---- | C] () -- C:\Documents and Settings\Администратор.USER\dpconfig
    [2012.08.13 12:39:52 | 000,000,056 | ---- | C] () -- C:\Documents and Settings\Администратор.USER\pconfig
    [2012.08.13 12:39:52 | 000,000,032 | ---- | C] () -- C:\Documents and Settings\Администратор.USER\flh.dat
    [2012.08.13 12:39:50 | 000,000,023 | ---- | C] () -- C:\Documents and Settings\Администратор.USER\dlst.dat
    :Services

    :Files

    autorun.inf /alldrives
    recycler /alldrives
    ipconfig /flushdns /c
    :Reg

    :Commands
    [EMPTYJAVA]
    [EMPTYFLASH]
    [purity]
    [Reboot]
  • Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
  • Компьютер перезагрузится.
  • После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

IvanXD 19-08-2012 23:54 1973027
http://zalil.ru/upload/33692674 вот тот файл, а интернет заработал. СПАСИБО

alex_sev 19-08-2012 23:57 1973029
  • Загрузите SecurityCheck by screen317 отсюда или отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Когда увидите консоль, нажмите любую клавишу для продолжения сканирования
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем checkup.txt;
  • Прикрепите файл к следующему сообщению.
Подробнее читайте в руководстве.

IvanXD 20-08-2012 00:11 1973037
Вложений: 1
Вот.

alex_sev 20-08-2012 00:19 1973043
Отлично.

По порядку:

Первое

Запустите снова OTL by OldTimer и нажмите кнопку CleanUp

Второе

Подготовьте повторный логи AVZ и RSIT

Третье
  1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
  2. Запустите файл TDSSKiller.exe;
  3. Нажмите кнопку "Начать проверку";
  4. В процессе проверки могут быть обнаружены объекты двух типов:
    • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
    • подозрительные (тип вредоносного воздействия точно установить невозможно).
  5. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
  6. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
  7. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
  8. Самостоятельно без указания хелпера ничего не не удаляйте!!!
  9. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
  10. Прикрепите лог утилиты к своему следующему сообщению
По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

Четвертое

Меняйте все пароли - у вас был троян, который их ворует

IvanXD 20-08-2012 00:49 1973059
Вложений: 3
Что касается 2 и 3 пункта тут

alex_sev 20-08-2012 01:05 1973070
Пофиксите в HJT:

Код:
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)

Ознакомьтесь с этими рекомендациями

Не забудьте сменить пароли.

IvanXD 20-08-2012 01:06 1973071
Вечно вас благодарю!!! Воспользуюсь всеми вашими советами!!!

alex_sev 20-08-2012 01:07 1973072
И Вам чистого интернета


Время: 23:49.

Время: 23:49.
© OSzone.net 2001-