Помогите удалить File downloader

Mikl71 · 13.12.2009, 14:30

Здравствуйте!
На одном из научных (!!!!!!!) сайтов подцепил эту заразу. Перепробовал массу вариантов, ничего не помогает. Kaspersky Virus Removal Tool ничего не видит.
Ниже прилагаю ссылки на плоды трудов AVZ.
Помогите удалить эту заразу.

[virusinfo_cure.zip]http://files.wyw.ru/wyw_file?id=4157081
[virusinfo_files_EMCI.zip]http://files.wyw.ru/wyw_file?id=4157090
[virusinfo_syscheck.zip"]http://files.wyw.ru/wyw_file?id=4157092
[virusinfo_syscure.zip"]http://files.wyw.ru/wyw_file?id=4157095

romul781 · 13.12.2009, 23:40

Mikl71, солидный зоопарк у Вас

здесь http://pchelpforum.ru/f26/t17191/ прочтите и сделайте как написано (скачайте гет2.ехе).
после перезагрузки Запустите снова avz: Файл-Выполнить скрипт- в открывшееся окно внимательно вставьте текст:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('C:\WINDOWS\DOWNLO~1\M4WEBS~1.DLL');
 DeleteFile('C:\autorun.inf');
 DeleteFile('D:\autorun.inf');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 DeleteFile('WinCtrl32.dll');
 DeleteFile('C:\WINDOWS\system32\gvzxnbw.dll');
 DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
 DeleteFile('C:\Documents and Settings\Михаил\Рабочий стол\.\..\drwvas.exe');
 DeleteFile('C:\Documents and Settings\Михаил\svchost.exe');
 DeleteFile('C:\DOCUME~1\1E86~1\LOCALS~1\Temp\EMebDrv.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winui05.sys');
 DeleteFile('C:\Documents and Settings\Михаил\CsimPlayer.exe ');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CsimPlayer');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','winlogon');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','winlogon');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','advap32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','[system]');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','[system]');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','[system]');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\udkvbnus\Parameters','ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WinCtrl32','DLLName');
 RegKeyParamDel('HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit ',' ',' ');
 RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{4CAB0A25-330C-4F90-B17C-10FE9C8BB706}');
 DeleteService('Winui05');
 DeleteService('EMebDrv');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

затем нажмите "Запустить" ПРОИЗОЙДЕТ ПЕРЕЗАГРУЗКА!!! После перезагрузки выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck

Mikl71 · 14.12.2009, 02:41

спасибо за рекомендации.
Прилагаю требуемый файл.
[virusinfo_syscheck.zip]http://files.wyw.ru/wyw_file?id=4159125
Как результат ?

romul781 · 14.12.2009, 02:53

Цитата:

Сообщение от Mikl71

Как результат ?

Запустите снова avz: Файл-Выполнить скрипт- в открывшееся окно внимательно вставьте текст:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('C:\WINDOWS\system32\brastk.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','brastk');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

затем нажмите "Запустить" ПРОИЗОЙДЕТ ПЕРЕЗАГРУЗКА!!! После перезагрузки выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck

Один из Ваших вирей отключил обновление винды (конкретно CsimPlayer.exe).
для исправления этого прийдется лезть в реестр:

Цитата:

Зловред меняет первую букву S на f и получается
%fystemRoot%\system32\svchost.exe -k netsvcs
что делает запуск службы невозможным.

Исправить это вручную можно так:

1. Нажмите Пуск - Выполнить, введите regedit и нажмите ОК.

2. Раскрывая "плюсиками" структуру в левой части окна, найдите подраздел
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\BITS

3. Щелкните его правой кнопкой мыши и выберите Разрешения... Убедитесь, что группе администраторов разрешен полный доступ. Если не разрешен - включите его.

4. Выделив данный подраздел, найдите в правой части окна параметр ImagePath, который содержит приведенную выше строку запуска, и исправьте его значение.

5. То же самое проделайте с подразделом
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\wuauserv

6. Вышеописанные действия следует также произвести во всех ветках
HKEY_LOCAL_MACHINE\SYSTEM\ControlSetnnn\...
(nnn может принимать значения 001, 002,...; обычно их две или три).

после этого перезагрузите комп и все встанет на место

Mikl71 · 14.12.2009, 03:32

Огромое спасибо за рекомендации.
Прилагаю файл от AVZ
[virusinfo_syscheck.zip]http://files.wyw.ru/wyw_file?id=4159196[/URL]
Сейчас займусь реестром.

Еще один момент.
Запустил GMER, подозрительных процессов не регистрирует.
Однако есть активный процесс на съемном носителе H:\cgd695fr.exe
AVZ воспринимает его как упаковщик, но под вопросом.
Просвятите пожалуйста, что это может быть.

Пожалуйста, дайте ваши рекомендации относительно антивируса, который бы не допустил подобный зоопарк. У меня был Касперский Сюит, сейчас ESET Smart Security, но судя по всему от них толку мало.

romul781 · 14.12.2009, 03:48

Цитата:

Сообщение от Mikl71

Однако есть активный процесс на съемном носителе H:\cgd695fr.exe

возможно червячок. Вы случайно Др.Веб.кюреит не качали ? у него тоже такое случайное имя.
если это вирь, то проверьте, нет ли на флешке скрытых файлов(через тотал коммандер - проверьте опцию Показывать скрытые файлы): autorun.info и папки Recycler?
для защиты от этого типа вирей можете в авз выполнить скрипт:

Цитата:

begin
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Win dows\CurrentVersion\Policies\Explorer','NoDriveTyp eAutoRun', 4);
end.

перезагрузите комп. либо скачайте программку Зоркий глаз - ее задача защитить комп именно от подобного рода вирусов. но сделайте это до того, как подключите флешку к компу!!!
т.к. при подключении флешки к компу, этот род вирусов тут же поселяется на компе.

Цитата:

Сообщение от Mikl71

Пожалуйста, дайте ваши рекомендации относительно антивируса

сколько людей, столько и мнений. на форуме есть подобная тема. выбирайте. наличие антивира не гарантирует 100% отсутствие вирей, увы. так что все уязвимы.

Mikl71 · 14.12.2009, 12:37

Спасибо за вашу помощь.
Все вроде работает, единственный вопрос к Эксплореру.
При смене параметров безопасности в свойствах обозревателя и прочих параметров при нажатии на кнопку "Применить" зависает наглухо.
Раньше такого не было.
Вирусов в системе вроде тоже нет.
Что это может быть ?

romul781 · 14.12.2009, 12:49

Mikl71, попробуйте в авз: Файл-Мастер поиска и устранения проблем-выберите Системные проблемы-степень опасности Все проблемы-Пуск.
что скажет авз напишите сюда.

01pump · 14.12.2009, 13:41

Mikl71,
Выполните следующий скрипт

Код:

 
var j:integer; NumStr:string;
begin
for j:=0 to 999 do
begin
if j=0 then
NumStr:='CurrentControlSet' else 
if j<10 then
NumStr:='ControlSet00'+IntToStr(j) else
if j<100 then
NumStr:='ControlSet0'+IntToStr(j) else
NumStr:='ControlSet'+IntToStr(j);
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
end;
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
begin 
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
end;
end;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
end.

После перезагрузки выполните стандартный скрипт №2 (virusinfo_syscheck.zip) а так же пришлите лог fystemRoot.log (он будет находится в папке с программой avz)

Mikl71 · 14.12.2009, 22:36

romul781
AVZ, мастер поиска проблем дал только одно сообщение: отключено автоиатическое обновление системы.
Видимо, реестр я до конца не исправил.

---------- Добавлено в 21:31 ---------- Предыдущее сообщение было написано в 21:28 ----------

01pump,
Спасибо за рекомендации. Скрипт выполнил, есть изменения.
Эксплорер виснет через раз. Один раз задумается на минуту, но все же сохранит изменения. В другой раз виснет наглухо.

---------- Добавлено в 21:36 ---------- Предыдущее сообщение было написано в 21:31 ----------

01pump
прилагаю ссылки на файлы
[virusinfo_syscheck.zip] http://files.wyw.ru/wyw_file?id=4160753
[fystemRoot.log] http://files.wyw.ru/wyw_file?id=4160759

13.12.2009, 14:30	#1 (ссылка)
Mikl71 Новичок Регистрация: 13.12.2009 Сообщений: 5 Репутация: 0	Помогите удалить File downloader Здравствуйте! На одном из научных (!!!!!!!) сайтов подцепил эту заразу. Перепробовал массу вариантов, ничего не помогает. Kaspersky Virus Removal Tool ничего не видит. Ниже прилагаю ссылки на плоды трудов AVZ. Помогите удалить эту заразу. [virusinfo_cure.zip]http://files.wyw.ru/wyw_file?id=4157081 [virusinfo_files_EMCI.zip]http://files.wyw.ru/wyw_file?id=4157090 [virusinfo_syscheck.zip"]http://files.wyw.ru/wyw_file?id=4157092 [virusinfo_syscure.zip"]http://files.wyw.ru/wyw_file?id=4157095

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
FreeRapid Downloader 0.85 app.log размером с закачку	JohneyWalker	Интернет и сети	0	22.12.2010 01:58
(cannot open file c recovery.dat) помогите переустановить винду	Christina90	Windows 7	1	04.08.2010 14:04
Проблема с Opera и Orbit Downloader	Анютка22	Утилиты	0	27.06.2010 16:18
Проблема с Opera и Orbit Downloader	Анютка22	Интернет и сети	6	25.06.2010 23:26
djvu File	An_jey	Утилиты	3	25.04.2010 05:16
Orbit Downloader	Пельмешка	Интернет и сети	0	20.04.2010 13:09
Orbit Downloader для firefox	ZigZag	Интернет и сети	3	02.03.2010 20:33
Спрятать Univer Share Downloader	Yuzner	Интернет и сети	3	02.03.2010 14:27
"доступ в сеть заблокирован" File downloader, "ооо квингрупп россия. помогите решить(	egorvldv	Безопасность	233	19.02.2010 18:38
Помогите удалить File Downloader	vokeven	Безопасность	6	21.12.2009 03:02
bat file	deejayyug	Интернет и сети	18	12.07.2009 20:05
Universal Maps Downloader 3.8	zvezdochots	Интернет и сети	0	09.03.2009 10:04

14.12.2009, 02:41	#3 (ссылка)
Mikl71 Новичок Регистрация: 13.12.2009 Сообщений: 5 Репутация: 0	спасибо за рекомендации. Прилагаю требуемый файл. [virusinfo_syscheck.zip]http://files.wyw.ru/wyw_file?id=4159125 Как результат ?

14.12.2009, 03:32	#5 (ссылка)
Mikl71 Новичок Регистрация: 13.12.2009 Сообщений: 5 Репутация: 0	Огромое спасибо за рекомендации. Прилагаю файл от AVZ [virusinfo_syscheck.zip]http://files.wyw.ru/wyw_file?id=4159196[/URL] Сейчас займусь реестром. Еще один момент. Запустил GMER, подозрительных процессов не регистрирует. Однако есть активный процесс на съемном носителе H:\cgd695fr.exe AVZ воспринимает его как упаковщик, но под вопросом. Просвятите пожалуйста, что это может быть. Пожалуйста, дайте ваши рекомендации относительно антивируса, который бы не допустил подобный зоопарк. У меня был Касперский Сюит, сейчас ESET Smart Security, но судя по всему от них толку мало.

14.12.2009, 12:37	#7 (ссылка)
Mikl71 Новичок Регистрация: 13.12.2009 Сообщений: 5 Репутация: 0	Спасибо за вашу помощь. Все вроде работает, единственный вопрос к Эксплореру. При смене параметров безопасности в свойствах обозревателя и прочих параметров при нажатии на кнопку "Применить" зависает наглухо. Раньше такого не было. Вирусов в системе вроде тоже нет. Что это может быть ?

14.12.2009, 12:49	#8 (ссылка)
romul781 Знаток Регистрация: 01.03.2009 Сообщений: 3,546 Репутация: 260	Mikl71, попробуйте в авз: Файл-Мастер поиска и устранения проблем-выберите Системные проблемы-степень опасности Все проблемы-Пуск. что скажет авз напишите сюда.

14.12.2009, 22:36	#10 (ссылка)
Mikl71 Новичок Регистрация: 13.12.2009 Сообщений: 5 Репутация: 0	romul781 AVZ, мастер поиска проблем дал только одно сообщение: отключено автоиатическое обновление системы. Видимо, реестр я до конца не исправил. ---------- Добавлено в 21:31 ---------- Предыдущее сообщение было написано в 21:28 ---------- 01pump, Спасибо за рекомендации. Скрипт выполнил, есть изменения. Эксплорер виснет через раз. Один раз задумается на минуту, но все же сохранит изменения. В другой раз виснет наглухо. ---------- Добавлено в 21:36 ---------- Предыдущее сообщение было написано в 21:31 ---------- 01pump прилагаю ссылки на файлы [virusinfo_syscheck.zip] http://files.wyw.ru/wyw_file?id=4160753 [fystemRoot.log] http://files.wyw.ru/wyw_file?id=4160759

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads

Ads