Вирус Ekav - Страница 11

01pump · 13.01.2010, 21:24

Eschestowa,

Пофиксите в hijackthis строку

Код:

 
F2 - REG:system.ini: UserInit=\\.\globalroot\systemroot\system32\userinit.exe

После чего перезагрузитесь и выполните ноый лог hijackthis

Eschestowa · 14.01.2010, 02:17

Я очень медленный газ... прошу прощения, случились некоторые дела.
http://webfile.ru/4228641

01pump · 14.01.2010, 11:42

Цитата:

Сообщение от Eschestowa

Я очень медленный газ... прошу прощения, случились некоторые дела.
http://webfile.ru/4228641

Ну как там самочуйствие компа?

Вы файлик успешно заменили?

Eschestowa · 14.01.2010, 15:38

Файлик заменила. С компом вроде все в порядке, живой и светится.
Спасибо Вам, добрый человек.

Southpaw · 17.01.2010, 15:18

И снова всем привет, очередной нетривиальный случай, все вылечил, тел вроде как нет, не могу в хайджеке последние записи убить, на пк две учетные записи, и при входе в каждую появляется системная ошибка о невозможности запуска объекта - тела вируса, причем под каждой учеткой ссылается на разное тело. Всяко прошу о помощи.

Логи по обеим учеткам в одном архиве тут http://exfile.ru/78322

01pump · 17.01.2010, 18:33

Southpaw,

есть что удалять

скрипты пишем

по первой машине (сисчек №1) выполнить следующее

Код:

 
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('mptfftqe');
DeleteService('xco4ouqfd5');
DeleteService('winsecguard');
DeleteFile('C:\WINDOWS\Fonts\zpx2.exe');
DeleteFile('C:\Documents and Settings\Компьютер\Application Data\Microsoft\zoodiwud.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\mptfftqe.sys');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\fresdg.exe,explorer.exe C:\Documents and Settings\Компьютер\axntsec.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\win32.exe');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
ExecuteSysClean;
RebootWindows(true);
end.

почле перезагрузки комплект логов выполнить

01pump · 17.01.2010, 18:48

Southpaw,

для второй машины

Код:

 
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('mptfftqe');
DeleteService('xco4ouqfd5');
DeleteService('winsecguard');
DeleteFile('C:\WINDOWS\Fonts\zpx2.exe');
DeleteFile('C:\Documents and Settings\Компьютер\Application Data\Microsoft\zoodiwud.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\mptfftqe.sys');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\fresdg.exe,explorer.exe C:\Documents and Settings\Компьютер\axntsec.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\fresdg.exe,explorer.exe C:\Documents and Settings\Марина\vnx.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\win32.exe');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
ExecuteSysClean;
RebootWindows(true);
end.

lira · 26.01.2010, 16:16

Всем привет! У меня такая же зараза. Проблема осложнена тем, что CD-привод не работает. Можно ли добыть где-то LiveCD - для флэшки?

01pump · 26.01.2010, 16:23

lira,
Опишите проблему подробнее. У вас avz и hijackthis запускаются?

Попробую для флешки вам подготовить

Отсюда http://pchelpforum.ru/f26/t6442/#post69244 со второй ссылке скачайте LiveCD . Как скачаете её - распакуйте в любую папку. Там должен быть файл Boot.img
Этот файл в отдельную папку скопируйте. В эту же папочку извлеките файлы из этого архива http://exfile.ru/80826

После чего отформатируйте флешку этой утилиткой http://exfile.ru/80827 (не забудьте её распаковать!!

) Отформатируйте сначала флеху в FAT32 затем в NTFS .
После чего на флеху скопируйте файл Boot.img и те 4 файлика из архива.

Теперь вам остаётся только в БИОС выставить приоритет загрузки с флеш . И далее грузитесь с неё и выполняйте процедуру лечения.

lira · 27.01.2010, 13:23

Спасибо за флешку. Вечером буду лечить. Больной комп дома, писать могу только с работы, поэтому извините за большие перерывы. Ситуация такова:
Красное окно: Internet Seciurity обнаружил вредоносное ПО… Далее длинный список, идет обратный отсчет времени и просьба послать СМС за 10 рублей…
Попыталась подобрать код разблокировки (+1, +2… к сообщению), как советовали где-то на форуме – безуспешно – в окошке с кодом появляется: Анализ 7, затем Анализ 6 и т.д., и по кругу.
AVZ не запускается.
Результат работы adsspy:
C:\Documents and Settings\1\Избранное\книги\Поиск книги по фамилии автора - Буква А - Страница 1.url : favicon (1406 bytes)
C:\Documents and Settings\1\Рабочий стол\планета\Planeta\Weburg!!!- Медиапортал.url : favicon (2478 bytes)
C:\Documents and Settings\1\Рабочий стол\планета\Planeta\Планета.url : favicon (2862 bytes)
….
C:\WINDOWS\svcpack.log : ng8NywONh9KvDpqjHuzB (130048 bytes)

На флешке, принесенной из дома, на рабочем компе Касперский убил вот это:
удалено: троянская программа Packed.Win32.Krap.w Файл: G:\RECYCLER\rvqmrkhmd.dll

01pump · 27.01.2010, 13:28

lira,
Вам через adsss нужно удалить этот файл C:\WINDOWS\svcpack.log : ng8NywONh9KvDpqjHuzB
Если удасться его удалить то попробуйте загрузиться в обычном режиме , запустить avz и выполнить стандартный скрипт №3 прислать virusinfo_syscure.zip

PS Если удасться загрузиться с флешки

то снова выполните лог adss и через флешку LiveCD удалите тот файл C:\WINDOWS\svcpack.log : ng8NywONh9KvDpqjHuzB

lira · 28.01.2010, 12:13

virusinfo_syscure здесь:

http://slil.ru/28559493

01pump · 28.01.2010, 12:23

lira,

Вижу что вам удалось

И сразу что бросилось в глаза это наличие двух антивирусов в системе

Один нужно правильно Деинсталлировать

Запустите снова avz: Файл-Выполнить скрипт- в открывшееся окно внимательно вставьте текст:

Код:

 
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\svcpack.log:ng8NywONh9KvDpqjHuzB');
DeleteFile('C:\Program Files\plugin.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','plugin');
DeleteFile('C:\WINDOWS\System32\netprotocol.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Netprotocol\Parameters','ServiceDll');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(12);
ExecuteRepair(17);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); 
RebootWindows(true);
end.

затем нажмите "Запустить" ПРОИЗОЙДЕТ ПЕРЕЗАГРУЗКА!!!
После перезагрузки обновите avz:Файл-Обновление баз, затем выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip + лог утилитки hijackthis

lira · 29.01.2010, 10:21

Логи здесь:
http://slil.ru/28564436
По ситуации: после лечения заработал CD-привод, но кратковременно.
При выключении компа некое "очень важное обновление windows" просило себя установить (получило отказ).

01pump · 29.01.2010, 11:29

lira,

запустить hijackthis кнопкой "Do a system scan only" Откроется таблица, в которой отметьте следующую строчку:

Цитата:

O20 - AppInit_DLLs: C:\WINDOWS\svcpack.log:ng8NywONh9KvDpqjHuzB

и нажмите FIX checked

Перезагрузитесь.
После перезагрузки выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip и новый лог hijackthis

Скачайте этот файл http://exfile.ru/74372 и распакуйте его. Затем запустите. После выполнения перезагрузитесь (Если в папке с распакованной утилиткой появится файл drv.sys Этот файл поместите в архив и пришлите).

А по поводу обновления Windows .... информации мало

У вас режим "Автоматического обновления Windows" в каком режиме стоит? (Авто,Загружать, Уведомлять,Отключить)
В принципе любое обновление установить можно (даже Уведомление о проверке подлинности

)

13.01.2010, 21:24	#151 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	Eschestowa, Пофиксите в hijackthis строку Код: F2 - REG:system.ini: UserInit=\\.\globalroot\systemroot\system32\userinit.exe После чего перезагрузитесь и выполните ноый лог hijackthis

26.01.2010, 16:23	#159 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	lira, Опишите проблему подробнее. У вас avz и hijackthis запускаются? Попробую для флешки вам подготовить Отсюда http://pchelpforum.ru/f26/t6442/#post69244 со второй ссылке скачайте LiveCD . Как скачаете её - распакуйте в любую папку. Там должен быть файл Boot.img Этот файл в отдельную папку скопируйте. В эту же папочку извлеките файлы из этого архива http://exfile.ru/80826 После чего отформатируйте флешку этой утилиткой http://exfile.ru/80827 (не забудьте её распаковать!! ) Отформатируйте сначала флеху в FAT32 затем в NTFS . После чего на флеху скопируйте файл Boot.img и те 4 файлика из архива. Теперь вам остаётся только в БИОС выставить приоритет загрузки с флеш . И далее грузитесь с неё и выполняйте процедуру лечения. Последний раз редактировалось 01pump; 26.01.2010 в 16:46.

28.01.2010, 12:23	#163 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	lira, Вижу что вам удалось И сразу что бросилось в глаза это наличие двух антивирусов в системе Один нужно правильно Деинсталлировать Запустите снова avz: Файл-Выполнить скрипт- в открывшееся окно внимательно вставьте текст: Код: begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\svcpack.log:ng8NywONh9KvDpqjHuzB'); DeleteFile('C:\Program Files\plugin.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','plugin'); DeleteFile('C:\WINDOWS\System32\netprotocol.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Netprotocol\Parameters','ServiceDll'); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); ExecuteSysClean; ExecuteRepair(6); ExecuteRepair(11); ExecuteRepair(12); ExecuteRepair(17); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); RebootWindows(true); end. затем нажмите "Запустить" ПРОИЗОЙДЕТ ПЕРЕЗАГРУЗКА!!! После перезагрузки обновите avz:Файл-Обновление баз, затем выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip + лог утилитки hijackthis

29.01.2010, 10:21	#164 (ссылка)
lira Новичок Регистрация: 26.01.2010 Сообщений: 18 Репутация: 0	01pump Логи здесь: http://slil.ru/28564436 По ситуации: после лечения заработал CD-привод, но кратковременно. При выключении компа некое "очень важное обновление windows" просило себя установить (получило отказ). Последний раз редактировалось 01pump; 29.01.2010 в 11:21.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
что это? вирус!!!	Ravlik	Безопасность	10	27.12.2010 19:16
вирус	Jose	Безопасность	4	21.12.2010 13:03
Вирус	PhenomenoN	Безопасность	5	01.09.2010 14:38
Вирус	The Lucifier	Безопасность	10	05.08.2010 12:15
Вирус (реклама) который утверждает что он не вирус и подавляет все действия	Vado	Безопасность	3	13.06.2010 16:40
Вирус.	ale553312	Безопасность	2	25.01.2010 17:23
Вирус ли это?	lebka11	Безопасность	1	17.10.2009 16:26
вирус	Sipuga	Безопасность	9	21.07.2009 18:31
Вирус или нет?	SeLLer	Безопасность	3	22.06.2009 14:57
Вирус	TheFcn	Безопасность	1	21.06.2009 18:00
Вирус	Zim_Zum	Безопасность	10	18.06.2009 23:22
Вирус?	Cembalo	Безопасность	1	06.03.2009 19:29

14.01.2010, 02:17	#152 (ссылка)
Eschestowa Новичок Регистрация: 13.01.2010 Сообщений: 17 Репутация: 0	Я очень медленный газ... прошу прощения, случились некоторые дела. http://webfile.ru/4228641

14.01.2010, 15:38	#154 (ссылка)
Eschestowa Новичок Регистрация: 13.01.2010 Сообщений: 17 Репутация: 0	Файлик заменила. С компом вроде все в порядке, живой и светится. Спасибо Вам, добрый человек.

17.01.2010, 15:18	#155 (ссылка)
Southpaw Новичок Регистрация: 08.01.2010 Сообщений: 11 Репутация: 0	И снова всем привет, очередной нетривиальный случай, все вылечил, тел вроде как нет, не могу в хайджеке последние записи убить, на пк две учетные записи, и при входе в каждую появляется системная ошибка о невозможности запуска объекта - тела вируса, причем под каждой учеткой ссылается на разное тело. Всяко прошу о помощи. Логи по обеим учеткам в одном архиве тут http://exfile.ru/78322

26.01.2010, 16:16	#158 (ссылка)
lira Новичок Регистрация: 26.01.2010 Сообщений: 18 Репутация: 0	Всем привет! У меня такая же зараза. Проблема осложнена тем, что CD-привод не работает. Можно ли добыть где-то LiveCD - для флэшки?

27.01.2010, 13:23	#160 (ссылка)
lira Новичок Регистрация: 26.01.2010 Сообщений: 18 Репутация: 0	Спасибо за флешку. Вечером буду лечить. Больной комп дома, писать могу только с работы, поэтому извините за большие перерывы. Ситуация такова: Красное окно: Internet Seciurity обнаружил вредоносное ПО… Далее длинный список, идет обратный отсчет времени и просьба послать СМС за 10 рублей… Попыталась подобрать код разблокировки (+1, +2… к сообщению), как советовали где-то на форуме – безуспешно – в окошке с кодом появляется: Анализ 7, затем Анализ 6 и т.д., и по кругу. AVZ не запускается. Результат работы adsspy: C:\Documents and Settings\1\Избранное\книги\Поиск книги по фамилии автора - Буква А - Страница 1.url : favicon (1406 bytes) C:\Documents and Settings\1\Рабочий стол\планета\Planeta\Weburg!!!- Медиапортал.url : favicon (2478 bytes) C:\Documents and Settings\1\Рабочий стол\планета\Planeta\Планета.url : favicon (2862 bytes) …. C:\WINDOWS\svcpack.log : ng8NywONh9KvDpqjHuzB (130048 bytes) На флешке, принесенной из дома, на рабочем компе Касперский убил вот это: удалено: троянская программа Packed.Win32.Krap.w Файл: G:\RECYCLER\rvqmrkhmd.dll

27.01.2010, 13:28	#161 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	lira, Вам через adsss нужно удалить этот файл C:\WINDOWS\svcpack.log : ng8NywONh9KvDpqjHuzB Если удасться его удалить то попробуйте загрузиться в обычном режиме , запустить avz и выполнить стандартный скрипт №3 прислать virusinfo_syscure.zip PS Если удасться загрузиться с флешки то снова выполните лог adss и через флешку LiveCD удалите тот файл C:\WINDOWS\svcpack.log : ng8NywONh9KvDpqjHuzB

28.01.2010, 12:13	#162 (ссылка)
lira Новичок Регистрация: 26.01.2010 Сообщений: 18 Репутация: 0	virusinfo_syscure здесь: http://slil.ru/28559493

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads

Ads